Сетевые атаки и защита информации в компьютерных сетях

1.

Белорусско-Российский университет
Кафедра «Программное обеспечение информационных технологий»
Методы и средства
защиты информации
Сетевые атаки и
защита информации в
компьютерных сетях
КУТУЗОВ Виктор Владимирович
Могилев, 2021

2.

Рекомендуемая литература по теме
Баранова, Е. К. Информационная
безопасность и защита
информации : учебное пособие /
Е.К. Баранова, А.В. Бабаш. — 4-е
изд., перераб. и доп. — Москва :
РИОР : ИНФРА-М, 2021. — 336 с. —
(Высшее образование).
DOI: https://doi.org/10.29039/1761-6.
ISBN 978-5-369-01761-6.
Текст : электронный. - URL:
https://znanium.com/catalog/product
/1189326
Стр.165-220
ГЛАВА 4. Информационная
безопасность в компьютерных
сетях
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
2

3.

Рекомендуемая литература по теме
Бирюков А. А.
Информационная
безопасность: защита и
нападение. - Москва: ДМК
Пресс, 2017. - 434 с.:
ISBN 978-5-97060-435-9
https://nnmclub.to/forum/viewto
pic.php?t=1114555
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
3

4.

1. Особенности обеспечения информационной
безопасности в компьютерных сетях
4

5.

Особенности обеспечения информационной
безопасности в компьютерных сетях
• Основной особенностью любой сетевой системы
является то, что ее компоненты распределены в
пространстве, и связь между ними физически
осуществляется при помощи сетевых соединений
(коаксиальный кабель, витая пара, оптоволокно) и
программно при помощи механизма сообщений. При
этом все управляющие сообщения и данные,
пересылаемые между объектами распределенной
вычислительной системы, передаются по сетевым
соединениям в виде пакетов обмена.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
5

6.

Особенности обеспечения информационной
безопасности в компьютерных сетях
Сетевые системы характерны тем, что наряду с локальными
угрозами, осуществляемыми в пределах одной компьютерной
системы, к ним применим специфический вид угроз,
обусловленный распределенностью ресурсов и информации в
пространстве. Это так называемые сетевые, или удаленные
угрозы. Они характерны, во-первых, тем, что злоумышленник
может находиться за тысячи километров от атакуемого объекта, и,
во-вторых, тем, что нападению может подвергаться не
конкретный компьютер, а информация, передающаяся по
сетевым соединениям. С развитием локальных и глобальных
сетей именно удаленные атаки становятся лидирующими как по
числу попыток, так и по успешности их применения и,
соответственно, обеспечение безопасности вычислительных сетей
с позиции противостояния удаленным атакам приобретает
первостепенное
значение.
Специфика
распределенных
вычислительных систем состоит в том, что если в локальных
вычислительных сетях наиболее частыми являются угрозы
раскрытия и целостности, то в сетевых системах на первое место
выходит угроза отказа в обслуживании.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
6

7.

Особенности обеспечения информационной
безопасности в компьютерных сетях
• Удаленная
угроза
—
потенциально
возможное
информационное
разрушающее
воздействие
на
распределенную вычислительную сеть, осуществляемая
программно по каналам связи. Это определение
охватывает обе особенности сетевых систем —
распределенность компьютеров и распределенность
информации.
• Поэтому при рассмотрении вопросов ИБ вычислительных
сетей рассматриваются два подвида удаленных угроз —
это удаленные угрозы на инфраструктуру и протоколы
сети и удаленные угрозы на телекоммуникационные
службы.
• Первые используют уязвимости в сетевых протоколах и
инфраструктуре сети, а вторые — уязвимости в
телекоммуникационных службах.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
7

8.

Особенности обеспечения информационной
безопасности в компьютерных сетях
• Цели сетевой безопасности могут меняться в
зависимости от ситуации, но обычно связаны с
обеспечением следующих составляющих ИБ:
• целостность данных;
• конфиденциальность данных;
• доступность данных.
• Целостность данных — одна из основных целей ИБ сетей — предполагает, что данные не были изменены,
подменены или уничтожены в процессе их передачи по линиям связи, между узлами вычислительной сети.
Целостность данных должна гарантировать их сохранность как в случае злонамеренных действий, так и
случайностей. Обеспечение целостности данных является обычно одной из самых сложных задач сетевой
безопасности.
• Конфиденциальность данных — вторая главная цель сетевой безопасности. При информационном обмене в
вычислительных сетях большое количество информации относится к конфиденциальной, например, личная
информация пользователей, учетные записи (имена и пароли), данные о кредитных картах и др.
• Доступность данных — третья цель безопасности данных в вычислительных сетях. Функциями
вычислительных сетей являются совместный доступ к аппаратным и программным средствам сети и
совместный доступ к данным. Нарушение И Б как раз и связано с невозможностью реализации этих функций.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
8

9.

Особенности обеспечения информационной
безопасности в компьютерных сетях
• В локальной сети должны быть доступны принтеры,
серверы, рабочие станции, данные пользователей и
др.
• В глобальных вычислительных сетях должны быть
доступны информационные ресурсы и различные
сервисы, например почтовый сервер, сервер
доменных имен, web-сервер и др.
• При рассмотрении вопросов, связанных с ИБ, в
современных вычислительных сетях необходимо
учитывать следующие факторы:
• глобальная связанность;
• разнородность корпоративных информационных
систем;
• распространение технологии «клиент/сервер».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
9

10.

2. Основы компьютерных сетей
Сетевые модели передачи данных
10

11.

Транспортный протокол TCP и модель TCP/IP
• За время развития вычислительных сетей было предложено и
реализовано много протоколов обмена данными, самыми
удачными из которых явились семейство протоколов TCP/IP
(Transmission Control Protocol/ Internet Protocol — протокол
управления передачей/межсетевой протокол).
• TCP/IР — это стек протоколов, состоящий из следующих
основных компонентов:
• межсетевой протокол (Internet Protocol), обеспечивающий адресацию в
сетях (IP-адресацию);
• межсетевой протокол управления сообщениями (Internet Control
Message Protocol — ICMP), который обеспечивает низкоуровневую
поддержку протокола IP, включая такие функции, как сообщения об
ошибках, квитанции, содействие в маршрутизации и т.п.;
• протокол разрешения адресов (Address Resolution Protocol — ARP),
выполняющий преобразование логических сетевых адресов в
аппаратные, а также обратный ему RARP (Reverse ARP);
• протокол пользовательских датаграмм (User Datagramm Protocol —
UDP);
• протокол управления передачей (Transmission Control Protocol — TCP).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
11

12.

Транспортный протокол TCP и модель TCP/IP
• Протокол UDP обеспечивает передачу пакетов без
проверки доставки, в то время как протокол TCP требует
установления виртуального канала и, соответственно,
подтверждения доставки пакета с повтором в случае
ошибки.
• Этот набор протоколов образует самую распространенную
модель сетевого обмена данными, получившую название
TCP/IP. Модель ТСР/IP иерархическая и включает четыре
уровня.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
12

13.

Транспортный протокол TCP и модель TCP/IP
• Прикладной
уровень
определяет
способ
общения
пользовательских приложений. В системах «клиент — сервер»
приложение-клиент должно знать, как посылать запрос, а
приложение-сервер должно знать, как ответить на запрос. Этот
уровень обеспечивает такие протоколы, как HTTP, FTP, Telnet.
• Транспортный уровень позволяет сетевым приложениям
получать сообщения по строго определенным каналам с
конкретными параметрами.
• На сетевом уровне определяются адреса включенных в сеть
компьютеров, выделяются логические сети и подсети,
реализуется маршрутизация между ними.
• На канальном уровне определяется адресация физических
интерфейсов сетевых устройств, например сетевых плат. К этому
уровню относятся программы управления физическими
сетевыми устройствами, так называемые драйверы.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
13

14.

Сравнительная схема уровневых моделей
протоколов OSI и TCP/IP
OSI — Open Systems Interconnection (Модель взаимодействия открытых систем)
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
14

15.

Модель OSI
• Модель взаимодействия открытых систем OSl
определяет различные уровни взаимодействия систем
в сетях с коммутацией пакетов, дает им стандартные
имена и указывает, какие функции должен выполнять
каждый уровень.
• В модели OSI средства взаимодействия делятся на
семь уровней: прикладной, представительный,
сеансовый, транспортный, сетевой, канальный и
физический.
• Каждый уровень имеет дело с определенным аспектом
взаимодействия сетевых устройств.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
15

16.

Сетевая модель стека сетевых протоколов OSI/ISO
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
16

17.

Иерархическое представление семи уровней модели OSI
Уровень приложений (седьмой). На этом самом верхнем
уровне модели OSI предоставляются средства для доступа
пользователей к сетевым ресурсам. Как правило, это
единственный уровень, доступный конечным пользователям,
поскольку на нем предоставляется интерфейс, на основании
которого они осуществляют всю свою деятельность в сети.
Уровень представления данных (шестой). На этом уровне
получаемые данные преобразуются в формат, удобный для их
чтения на уровне приложений. Порядок кодирования и
декодирования данных на этом уровне зависит от протокола,
применяемого на уровне приложений для передачи и приема
данных. На уровне приложений может также использоваться
несколько форм шифрования и дешифрования данных для их
защиты.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
17

18.

Иерархическое представление семи уровней модели OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Сеансовый уровень (пятый). На этом уровне происходит
диалог, или сеанс связи, между двумя компьютерами.
Сеансовый уровень отвечает также за установление
дуплексного (т.е. двунаправленного) или полудуплексного
(т.е. однонаправленного) соединения, а также для
корректного (т.е. не резкого и внезапного) разрыва связи
между двумя хостами (т.е. сетевыми узлами).
Транспортный уровень (четвертый). Основное назначение
транспортного
уровня
—
предоставить
надежные
транспортные услуги нижележащим уровням. Благодаря
управлению
потоком
данных,
их
сегментации
и
десегментации, исправлению ошибок на транспортном
уровне обеспечивается безошибочная доставка данных из
одной точки сети в другую. Обеспечить надежную доставку
данных крайне сложно, поэтому в модели OSI для этой цели
выделен отдельный уровень. На транспортном уровне
используются протоколы как с установлением соединения,
так и без него. Именно на этом уровне и действуют
определенные брандмауэры и промежуточные, так
называемые
прокси-серверы.
Методы и средства защиты информации,
2021.
18
Тема: Сетевые атаки и защита информации в компьютерных сетях

19.

Иерархическое представление семи уровней модели OSI
Сетевой уровень (третий). Один из самых сложных уровней
модели OSI, обеспечивающий маршрутизацию данных между
физическими сетями и правильную адресацию сетевых узлов
(например, по IP-адресу). На этом уровне происходит также
разбиение потоков данных на более мелкие части, а иногда и
обнаружение ошибок. Именно на этом уровне и действуют
маршрутизаторы.
Канальный
уровень
(второй).
На
этом
уровне
предоставляются средства для переноса данных по
физической сети. Основное назначение данного уровня —
предоставить схему адресации для обозначения физических
устройств (например, МАС-адреса). Именно на этом уровне и
действуют такие физические устройства, как мосты и
коммутаторы.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
19

20.

Иерархическое представление семи уровней модели OSI
Физический уровень (первый). Это самый нижний уровень
модели OSI, где находится среда, по которой переносятся
сетевые данные. На этом уровне определяется физические и
электрические характеристики всего сетевого оборудования,
включая уровни напряжений в сети, концентраторы, сетевые
адаптеры, повторители и кабельную разводку. На физическом
уровне устанавливаются и разрываются сетевые соединения,
предоставляются средства для совместного использования
общих сетевых ресурсов и преобразования сигналов из
цифровой в аналоговую форму, и наоборот.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
20

21.

Типичные протоколы, используемые
на каждом уровне модели OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
21

22.

OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
22

23.

Соответствие популярных стеков протоколов модели OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
23

24.

Распределение функций безопасности по уровням OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
24

25.

Протоколы, действующие на одном и том же
уровне как в передающей, так и в принимающей системе
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
25

26.

Графическое представление инкапсуляции данных при
их обмене между клиентом и сервером
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
26

27.

Схема пакета для различных уровней OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
27

28.

Порядок прохождения трофика, когда компьютер А
передает данные компьютеру Б через концентратор
Концентраторы могут формировать немало
излишнего сетевого трафика и способны работать
только в полудуплексном режиме, т.е. они не в
состоянии
одновременно
передавать
и
принимать данные. Поэтому концентраторы, как
правило, не применяются в большинстве
современных сетей, а также в сетях с высоким
трафиком, где вместо них используются
коммутаторы, рассматриваемые далее.
Единственное преимущество
концентратора — низкая стоимость
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
Концентратор - это всего лишь повторитель
работающий на физическом уровне модели OSI.
Он принимает пакеты, посылаемые из одного
порта, и передает их во все остальные порты , т.е.
повторяет их, а обязанность приемного
устройства - принять или отвергнуть каждый
пакет.
28

29.

Порядок прохождения трафика, когда компьютер А
передает данные компьютеру Б через коммутатор
Наилучшим вариантом замены
концентраторов
в
производственных и сетях с
высоким трафиком являются
коммутаторы
дуплексные
способные
передавать
данные.
и
устройства,
синхронно
принимать
Как и концентратор, коммутатор предназначен для
повторения пакетов. Но в отличие от концентратора,
коммутатор не рассылает данные в каждый порт, а
посылает их только тому компьютеру, для которого они
предназначены.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
29

30.

Типичная сеть небольшого офиса
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
30

31.

Маршрутизатор (router)
• Маршрутизатор (от англ. router) или
ро́утер
—
специализированное
устройство, которое пересылает пакеты
между различными сегментами сети на
основе правил и таблиц маршрутизации.
• Маршрутизатор
может
связывать
разнородные сети различных архитектур.
Для принятия решений о пересылке
пакетов используется информация о
топологии сети и определённые правила,
заданные администратором.
• Маршрутизаторы работают на «сетевом»
(третьем) уровне сетевой модели OSI, в
отличие от коммутаторов (свитчей) и
концентраторов
(хабов),
которые
работают соответственно на втором и
первом уровнях модели OSI.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
31

32.

Сравнение маршрутизируемой сети с
соседством городских улиц
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
32

33.

Порядок прохождения сетевого трафика, когда компьютер А в одной сети
передает данные компьютеру Г в другой сети через маршрутизатор
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
33

34.

Пример компьютерной сети офиса
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
34

35.

Компьютерные сети
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
35

36.

Компьютерные сети
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
36

37.

Три компонента безопасности в компьютерных сетях
• Обеспечение безопасности информации в
компьютерных сетях следует рассматривать в виде
единства трех компонентов, оказывающих взаимное
влияние друг на друга:
• информация;
• технические и программные средства;
• обслуживающий персонал и пользователи.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
37

38.

Угрозы безопасности в компьютерных системах
Угрозы информационной
безопасности в
компьютерных сетях
Случайные угрозы
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Преднамеренные
угрозы
Стихийные бедствия и
аварии
Шпионаж и диверсии
Сбои и отказы
технических средств
Несанкционированный
доступ к информации
Ошибки при
проектировании и
прокладке компьютерных
сетей
Электромагнитные
излучения и наводки
Алгоритмические и
программные ошибки
Вредительские
программы
Ошибки пользователей и
обслуживающего
персонала
Целенаправленные
сетевые атаки
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
38

39.

3. Угрозы безопасности в компьютерных сетях
Классификация сетевых (удаленных) атак
39

40.

Классификации атак
• Эффективная защита от потенциальных сетевых атак
невозможна без их детальной классификации,
облегчающей их выявление и задачу противодействия им.
• В настоящее время известно большое количество
различных типов классификационных признаков.
• В качестве таких признаков может быть выбрано,
например, разделение на пассивные и активные, внешние
и внутренние атаки, умышленные и неумышленные и т.д..
• К сожалению, несмотря на то, что некоторые из
существующих классификаций мало применимы на
практике, их активно используют при выборе систем
обнаружения вторжений и атак и их эксплуатации.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
40

41.

Виды классификаций атак
• Классификация атак:
• По характеру воздействия
• По цели воздействия
• По наличию обратной связи с атакуемым объектом
• По условию начала осуществления воздействия
• По расположению субъекта атаки относительно
атакуемого объекта
• По уровню эталонной модели ISO/OSI, на котором
осуществляется воздействие
• Классификация уязвимостей сканера Nessus
• Классификация Питера Мелла в работе "Компьютерные
атаки: что это и как им противостоять"
• Затем, более подробно разберем наиболее часто
используемые
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
41

42.

Классификация атак
По характеру воздействия
• По характеру воздействия: пассивное, активное
• Пассивное воздействие на распределённую вычислительную систему
(РВС) представляет собой некоторое воздействие, не оказывающее
прямого влияния на работу системы, но в то же время способное
нарушить её политику безопасности. Отсутствие прямого влияния на
работу РВС приводит именно к тому, что пассивное удалённое
воздействие (ПУВ) трудно обнаружить. Возможным примером
типового ПУВ в РВС служит прослушивание канала связи в сети.
• Активное воздействие на РВС — воздействие, оказывающее прямое
влияние на работу самой системы (нарушение работоспособности,
изменение конфигурации РВС и т. д.), которое нарушает политику
безопасности, принятую в ней. Активными воздействиями являются
почти все типы удалённых атак. Связано это с тем, что в саму природу
наносящего ущерб воздействия включается активное начало. Явное
отличие активного воздействия от пассивного — принципиальная
возможность его обнаружения, так как в результате его
осуществления в системе происходят некоторые изменения. При
пассивном же воздействии, не остается совершенно никаких следов
(из-за того, что атакующий просмотрит чужое сообщение в системе, в
тот же момент не изменится собственно ничего).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
42

43.

Классификация атак
По цели воздействия
• По цели воздействия
• нарушение функционирования системы (доступа к
системе)
• нарушение целостности информационных ресурсов
• нарушение конфиденциальности информационных
ресурсов
• Этот
признак,
по
которому
производится
классификация, по сути есть прямая проекция трех
базовых разновидностей угроз — отказа в
обслуживании, раскрытия и нарушения целостности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
43

44.

Классификация атак
По цели воздействия
• Главная цель, которую преследуют практически при любой атаке —
получение несанкционированного доступа к информации.
• Существуют два принципиальных варианта получения информации:
искажение и перехват.
• Вариант перехвата информации означает получение к ней доступа без
возможности её изменения. Перехват информации приводит, следовательно,
к нарушению её конфиденциальности. Прослушивание канала в сети —
пример перехвата информации. В этом случае имеется нелегитимный доступ
к информации без возможных вариантов её подмены. Очевидно, что
нарушение конфиденциальности информации относится к пассивным
воздействиям.
• Возможность подмены информации следует понимать либо как полный
контроль над потоком информации между объектами системы, либо
возможность передачи различных сообщений от чужого имени.
Следовательно, понятно, что подмена информации приводит к нарушению
её целостности. Такое информационное разрушающее воздействие есть
характерный пример активного воздействия. Примером же удалённой атаки,
предназначенной для нарушения целостности информации, может
послужить удалённая атака (УА) «Ложный объект РВС».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
44

45.

Классификация атак
По наличию обратной связи с атакуемым объектом
• По наличию обратной связи с атакуемым объектом
• с обратной связью
• без обратной связи (однонаправленная атака)
• Атакующий отправляет некоторые запросы на атакуемый
объект, на которые ожидает получить ответ. Следовательно
между атакующим и атакуемым появляется обратная связь,
позволяющая первому адекватно реагировать на всяческие
изменения на атакуемом объекте. В этом суть удалённой атаки,
осуществляемой при наличии обратной связи с атакующим
объектом. Подобные атаки наиболее характерны для
распределенных вычислительных систем.
• Атаки без обратной связи характерны тем, что им не требуется
реагировать на изменения на атакуемом объекте. Такие атаки
обычно осуществляются при помощи передачи на атакуемый
объект одиночных запросов. Ответы на эти запросы атакующему
не нужны. Подобную удаленную атаку можно назвать также
однонаправленной
удаленной
атакой.
Примером
однонаправленных атак является - «DoS-атака».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
45

46.

Классификация атак
По условию начала осуществления воздействия
• По условию начала осуществления воздействия
• Удалённое воздействие, также как и любое другое,
может
начать
осуществляться
только
при
определённых условиях.
• В распределённой вычислительной системе (сети)
существуют три вида таких условных атак:
• атака по запросу от атакуемого объекта
• атака по наступлению ожидаемого события на
атакуемом объекте
• безусловная атака
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
46

47.

Классификация атак
По условию начала осуществления воздействия
• Воздействие со стороны атакующего начнётся при условии, что
потенциальная цель атаки передаст запрос определённого типа. Такую атаку
можно назвать атакой по запросу от атакуемого объекта. Данный тип УА
наиболее характерен для РВС. Примером подобных запросов в сети Интернет
может служить DNS- и ARP-запросы.
• Атака по наступлению ожидаемого события на атакуемом объекте.
Атакующий непрерывно наблюдает за состоянием ОС удалённой цели атаки
и начинает воздействие при возникновении конкретного события в этой
системе. Атакуемый объект сам является инициатором начала атаки.
Примером такого события может быть прерывание сеанса работы
пользователя с сервером без выдачи команды LOGOUT в Novell NetWare.
• Безусловная атака осуществляется немедленно и безотносительно к
состоянию операционной системы и атакуемого объекта. Следовательно,
атакующий является инициатором начала атаки в данном случае.
• При нарушении нормальной работоспособности системы преследуются
другие цели и получение атакующим незаконного доступа к данным не
предполагается. Его целью является вывод из строя ОС на атакуемом объекте
и невозможность доступа для остальных объектов системы к ресурсам этого
объекта. Примером атаки такого вида может служить удаленная атака «DoSатака».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
47

48.

Классификация атак
По расположению субъекта атаки относительно атакуемого объекта
• По расположению субъекта
атакуемого объекта
• межсегментное
• внутрисегментное
атаки
относительно
• С точки зрения удалённой атаки крайне важным является взаимное
расположение субъекта и объекта атаки, то есть находятся ли они в разных
или в одинаковых сегментах. Во время внутрисегментной атаки, субъект и
объект атаки располагаются в одном сегменте. В случае межсегментной
атаки субъект и объект атаки находятся в разных сетевых сегментах. Этот
классификационный признак дает возможность судить о так называемой
«степени удалённости» атаки.
• Практически внутрисегментную атаку осуществить намного проще, чем
межсегментную. Однако межсегментная удалённая атака представляет куда
большую опасность, чем внутрисегментная. Это связано с тем, что в случае
межсегментной атаки объект её и непосредственно атакующий могут
находиться на расстоянии многих тысяч километров друг от друга, что может
существенно воспрепятствовать мерам по отражению атаки.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
48

49.

Классификация атак
По условию начала осуществления воздействия
• По уровню эталонной модели ISO/OSI, на котором
осуществляется воздействие
физический
канальный
сетевой
транспортный
сеансовый
представительный
прикладной
• Международной организацией по стандартизации (ISO) был принят стандарт ISO 7498, который
описывает взаимодействие открытых систем (OSI), к которым принадлежат также и
распределенные вычислительные системы и сети. Каждый сетевой протокол обмена, также как и
каждую сетевую программу, удаётся так или иначе спроецировать на эталонную 7-уровневую
модель OSI. Такая многоуровневая проекция даёт возможность описать в терминах модели OSI
использующиеся в сетевом протоколе или программе функции.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
49

50.

Классификация сетевых атак по работе Питера Мелла
«Компьютерные атаки: что это и как им противостоять»
• Классификация сетевых атак по работе Питера Мелла
«Компьютерные атаки: что это и как им противостоять»
удаленное проникновение (remote penetration)
локальное проникновение (local penetration)
удаленный отказ в обслуживании (remote denial of service)
локальный отказ в обслуживании (local denial of service)
атаки с использованием сетевых сканеров (network scanners)
атаки с использованием сканеров уязвимостей (vulnerability
scanners)
• атаки с использованием взломщиков паролей (password
crackers)
• атаки с использованием анализаторов протоколов (sniffers)
Peter M. Mell - Computer Attacks: What They Are and How to Defend Against Them (May 26, 1999)
https://www.nist.gov/publications/computer-attacks-what-they-are-and-how-defend-against-them
https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=151188
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
50

51.

Классификация сетевых атак
• удаленное проникновение (от англ. remote
penetration) — это тип атак, которые позволяют
реализовать удаленное управление компьютером
через сеть;
• локальное проникновение (от англ. local penetration)
— это тип атак, которые приводят к получению
несанкционированного доступа к узлу, на который они
направлены;
• удаленный отказ в обслуживании (от англ. remote
denial of service) — тип атак, которые позволяют
нарушить функционирование системы в рамках
глобальной сети;
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
51

52.

Классификация сетевых атак
• локальный отказ в обслуживании (от англ. local denial
of service) — тип атак, позволяющих нарушить
функционирование системы в рамках локальной сети.
В качестве примера такой атаки можно привести
внедрение и запуск враждебной программы, которая
загружает центральный процессор бесконечным
циклом, что приводит к невозможности обработки
запросов других приложений;
• атаки с использованием сетевых сканеров (от англ.
network scanners) — это тип атак, основанных на
использовании сетевых сканеров — программ,
которые анализируют топологию сети и обнаруживают
сервисы, доступные для атаки; пример: атака с
использованием утилиты nmap;
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
52

53.

Классификация сетевых атак
• атаки с использованием взломщиков паролей (от
англ. password crackers) — это тип атак, которые
основаны на использовании взломщиков паролей —
программ, подбирающих пароли пользователей;
• атаки с использованием сканеров уязвимостей (от
англ. vulnerability scanners) — тип атак, основанных на
использовании сканеров уязвимостей — программ,
осуществляющих поиск уязвимостей на узлах сети,
которые в дальнейшем могут быть применены для
реализации сетевых атак;
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
53

54.

Классификация сетевых атак
• атаки с использованием анализаторов протоколов (от
англ. sniffers) — это тип атак, основанных на
использовании
анализаторов
протоколов
—
программах, "прослушивающих сетевой трафик. С их
помощью можно автоматизировать поиск в сетевом
трафике такой информации, как идентификаторы и
пароли пользователей, информацию о кредитных
картах и т. д.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
54

55.

Классификация уязвимостей сканера Nessus
• В сканере уязвимостей Nessus используется классификация "по
характеру уязвимости", используемой для реализации атаки:
"черные ходы" (Backdoors);
ошибки в CGI скриптах (CGI abuses);
атаки типа "отказ в обслуживании" (Denial of Service);
ошибки в программах — FTP-серверах (FTP);
наличие на компьютере сервиса Finger или ошибки в программах,
реализующих этот сервис (Finger abuses);
ошибки в реализации межсетевых экранов (Firewalls);
ошибки, позволяющие пользователю, имеющему терминальный вход на
данный сервер, получить права администратора (Gain a shell remotely);
ошибки, позволяющие атакующему удаленно получить права
администратора (Gain root remotely);
прочие ошибки, не вошедшие в другие категории (Misc);
ошибки в программах — NIS-серверах (NIS);
ошибки в программах — RPC-серверах (RPC);
уязвимости, позволяющие атакующему удаленно получить любой файл с
сервера (Remote file access);
ошибки в программах — SMTP-серверах (SMTP problems);
неиспользуемые сервисы (Useless services).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
55

56.

4. По уровню эталонной модели OSI
56

57.

Физический уровень (первый). Это самый нижний
уровень модели OSI, где находится среда, по
которой переносятся сетевые данные.
На этом уровне определяется физические и
электрические характеристики всего сетевого
оборудования, включая уровни напряжений в сети,
концентраторы, коммутаторы, роутеры, сетевые
адаптеры, повторители, кабельная разводка и др.
На физическом уровне устанавливаются и
разрываются сетевые соединения, предоставляются
средства для совместного использования общих
сетевых ресурсов и преобразования сигналов из
цифровой в аналоговую форму, и наоборот.
4.1. Атаки на физическом уровне, на
сетевое оборудование
57

58.

Атаки на коммутаторы (switch)
• Коммутатор (switch) является более интеллектуальным
устройством, чем концентратор. Коммутаторы работают
на канальном уровне модели OSI. Получая пакет на одни
из своих портов, он, в отличие от концентратора, не
пересылает его на все порты, а пересылает только на тот
порт, к которому подключен получатель пакета.
• На канальном уровне возможны следующие типы атак:
• переполнение САМ-таблицы;
• VLAN Hopping;
• атака на STP;
• МАС-спуфинг;
• атака на PVLAN;
• атака на DHCP
• ARP-spoofing.
• Рассмотрим каждую из атак более подробно.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
58

59.

12 миллионов роутеров и DSL-модемов с
уязвимостями
• В декабре 2020 года специалисты компании Check Point обнаружили
свыше 12 миллионов роутеров (в том числе топовых моделей) и
DSL-модемов, которые можно взломать из-за уязвимости в
механизме получения автоматических настроек. Он широко
применяется для быстрой настройки сетевого оборудования на
стороне клиента (CPE — customer premises equipment).
• Последние десять лет провайдеры используют для этого протокол
управления абонентским оборудованием CWMP (CPE WAN
Management Protocol). Спецификация TR-069 предусматривает
возможность отправлять с его помощью настройки и подключать
сервисы через сервер автоконфигурации (ACS — Auto Configuration
Server).
• Сотрудники Check Point установили, что во многих роутерах есть
ошибка обработки CWMP-запросов, а провайдеры еще усложняют
ситуацию: большинство из них никак не шифруют соединение между
ACS и оборудованием клиента и не ограничивают доступ по IP- или
MAC-адресам.
• Вместе это создает условия для легкой атаки по типу man-in-themiddle — «человек посередине».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
59

60.

Переполнение САМ-таблицы
• Коммутатор имеет САМ-таблицу (Content Address Memory), где
содержится привязка МАС-адресов к портам коммутатора. То есть в
данной таблице указано, какие МАС-адреса на каком порту
принимаются. CAM-таблица имеет ограниченный размер, например
для коммутатора Cisco Catalyst 2960 таблица может хранить до 8192
МАС-адресов, a Catalyst 6000-й серии - до 128 000 МАС-адресов.
• В случае если таблица будет полностью занята, новые записи не
смогут добавляться, и весь трафик будет проходить на все порты.
Тогда коммутатор начнет работать как обычный концентратор, и весь
трафик, проходящий через данный сегмент сети, можно будет
прослушать с помощью утилиты Wireshark.
• Конечно, прослушать весь график в локальной сети злоумышленнику
таким способом не удастся, но инсайдер, работающий в одном
сегменте сети, к примеру с бухгалтерией, сможет перехватывать
трафик и получить конфиденциальную информацию.
Wireshark — программа-анализатор трафика для компьютерных сетей Ethernet и некоторых других.
https://www.wireshark.org/download.html
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
60

61.

Переполнение САМ-таблицы
Топология сети с
коммутатором
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
61

62.

VLAN Hoping
• С помощью данной атаки злоумышленник может попытаться передать
данные в другой VLAN.
• Как известно, для взаимодействия между виртуальными локальными сетями
VLAN в коммутаторах используется режим trunk.
• В коммутаторах Cisco Catalyst по умолчанию порт работает не в режиме mode
access и не в режиме mode trunk, таким образом, на порту работает протокол
DTP (Dynamic Trunk Protocol).
• Очевидно, что при такой настройке портов коммутатора злоумышленнику
достаточно притвориться коммутатором, как между ними будет установлено
транковое соединение и, соответственно, будут доступны VLAN,
сконфигурированные на коммутаторе, после чего передать данные в другой
VLAN не составит труда.
• Как правило, в большинстве организаций серверы работают в одном
сегменте сети (VLAN) рабочие станции администраторов - в другом, обычные
пользователи - в третьем. Отдельно должен размещаться сегмент DMZ,
правда, для его разграничения коммутаторов, как правило, не используют.
• Таким образом, в случае если злоумышленник, находясь в пользовательском
сегменте, сможет проникнуть в VLAN администраторов, то он сможет
попытаться атаковать машины администраторов или же прослушать трафик
на наличие незашифрованных паролей и другой конфиденциальной
информации.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
62

63.

VLAN Hoping
Топология сети с
коммутатором и
фальшивым транком
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
63

64.

Атака на STP (Spanning Tree Protocol)
• Протокол STP (Spanning Tree Protocol) предназначен для предотвращения
зацикливания пакетов в сети при наличии дублирующих маршрутов.
Работает это следующим образом. Сначала производится обнаружение
коммутаторов, которые связаны между собой. Затем выбирается Root Bridge,
главный, корневой коммутатор. Далее но специальному алгоритму будут
заблокированы порты коммутатора, которые создают петли в получившейся
топологии.
• Для построения древовидной структуры сети без петель в сети должен
быть определен корневой коммутатор (root switch), от которого и строится
это дерево.
• В качестве корневого коммутатора выбирается коммутатор с наименьшим
значением идентификатора. Идентификатор коммутатора - это число
длиной восемь байт, шесть младших байтов которого составляет МАС-адрес
его блока управления, а два старших байта конфигурируются вручную. Это
позволяет администратору сети влиять на процесс выбора корневого
коммутатора. Если администратор не вмешается в данный процесс,
корневой коммутатор будет выбран случайным образом - им станет
устройство с минимальным МАС-адресом блока управления. Такой выбор
может оказаться далеко не рациональным. и назначить ему вручную
наименьший идентификатор.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
64

65.

Атака на STP (Spanning Tree Protocol)
• Что может предпринять атакующий?
• Он может притвориться коммутатором, направить в
сторону атакуемого коммутатора BPDU-пакет, в
котором может подделать приоритет, МАС-адрес,
для
того
чтобы
самому
стать
корневым
коммутатором и с его помощью перехватить сетевой
трафик.
• Корневым коммутатором становится тот, у которого
самый высокий приоритет.
• В случае если приоритет у нескольких коммутаторов
одинаковый, то для выбора корневого коммутатора
используется МАС-адрес, у кого он меньше, тот и
становится корневым.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
65

66.

MAC Spoofing
• MAC Spoofing. Данный тип атак реализуется путем
подделывания МАС-адреса, например атакующий
может подделать МАС-адрес, который использовал
другой хост сети. Злоумышленник может использовать
эту атаку для осуществления сбора конфиденциальной
информации
• Для реализации данной атаки, часто пользуются
утилитой macchanger.
Утилита macchanger позволяет гибко управлять MAC-адресами сетевых интерфейсов.
Воспользовавшись macchanger можно быстро установить определенный MAC-адрес
на сетевом интерфейсе, установить MAC-адрес случайным образом, установить MACадрес от конкретного производителя и др.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
66

67.

Атака на PVLAN (Private VLAN)
• С помощью этой атаки злоумышленник может получить доступ к
соседнему
устройству
PVLAN
посредством
LЗ-устройства
(маршрутизатора).
• В технологии PVLAN, в отличие от VLAN, порты могут находиться в трех
режимах:
• isolated,
• promiscuus,
• community.
• Isolated - порты не могут передавать данные в своем VLAN между
клиентами. Данные могут передаваться только между портами
Isolated и Promiscuous.
• Порты promiscuous - это порты PVLAN, в которые можно передавать
данные со всех портов Isolated и Community, как и в обычном VLAN.
• Community - это группы портов, между членами которых можно
передавать данные, можно назвать VLAN во VLAN.
• Если атакующему доступно устройство Layer 3 (например,
маршрутизатор), он может установить связь между клиентами,
которые находятся в одном PVLAN, между портами isolated.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
67

68.

Атака на PVLAN (Private VLAN)
• Для реализации данной атаки пользователь может
подделать пакет, в котором он укажет в IP-адресе
назначения необходимое ему устройство, находящееся
на другом порту isolated, источник останется без
изменения, а вот в качестве МАС-адреса назначения он
укажет МАС-адрес устройства L3.
• Данное устройство, получив пакет, перенаправит его
по указанному адресу. Принимающая сторона может
сделать то же самое - таким образом обеспечить
передачу данных между isolated-портами.
• Для таких атак может применяться утилита Private-VLAN-PVLAN-attack.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
68

69.

Атака на DHCP
• Атаковать DHCP-сервер можно несколькими различными
способами.
1. Злоумышленник может сформировать и послать DHCP-серверу
огромное количество DHCP-запросов с разными МAС-адресами.
Сервер будет выделять IP-адреса из пула, и рано или поздно весь
DHCP-пул закончится, после чего сервер не сможет обслуживать
новых клиентов. По сути, это DoS-атака, так как нарушается
работоспособность сети. Метод борьбы с подобными атаками
называется DHCP Snooping. Данный метод заключается в следующем.
Когда коммутатор получает пакет, то он сравнивает МАС-адрес,
указанный в DHCP-запросе, с МАС-адресом, который был прописан
на порту коммутатора. Если адреса совпадают, то коммутатор
отправляет пакет дальше, если не совпадают, то пакет отбрасывается.
2. Злоумышленник может также развернуть свой DHCP-сервер и
выдавать свои настройки пользователям сети (может указать любой
DNS, Gateway и г. д.) и воспользоваться уже по своему усмотрению,
начиная от прослушивания трафика до подделки DNS-ответов и т. д.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
69

70.

ARP-spoofing
• ARP spoofing (ARP Cache poisoning) - это атака, используемая для
прослушивания сети, построенной на коммутаторах.
• ARP (англ. Address Resolution Protocol - протокол определения адреса) использующийся и компьютерных сетях протокол низкого уровня,
предназначенный для определения адреса кинального уровня по
известному адресу сетевого уровня.
• Суть этой атаки заключается в следующем. Злоумышленник
посылает ложные ARP-пакеты, для того чтобы убедить компьютер
жертвы в том, что прослушивающий компьютер и есть конечный
адресат. Далее пакеты с компьютера жертвы перехватываются и
пересылаются реальному получателю, МАС-адрес отправителя в
них подменяется, чтобы ответные пакеты тоже шли через
прослушивающий Компьютер. Прослушивающий компьютер
становится «шлюзом» для трафика жертвы, и злоумышленники
получают возможность прослушивать трафик, осуществляя атаку
«человек посередине» .
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
70

71.

ARP-spoofing
• Стоит отмстить, что при попытке
прослушать трафик нескольких активно
общающихся
компьютеров
и,
соответственно, возникающем при этом
переполнении АPR-таблиц возможна
перегрузка, и, как следствие, падение
сети. Это, помимо прочего, чревато
обнаружением атаки.
• Также стоит отметить, что данная атака
может быть реализована только при
наличии доступа в локальную сеть.
• То есть злоумышленнику, находящемуся
за пределами локальной сети, не удастся
осуществить АRР-Spooling.
• Для реализации этой атаки ему придется
сначала захватить контроль над одной из
машин, находящейся в корпоративной
локальной сети, а уже потом с этой
машины осуществлять отравление ARPкэша.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
Схематический вид подмены
МАС-адреса
71

72.

Атаки на физическом уровне
• Что касается атак на физическом уровне, то стоит
заметить, что для их успешной реализации
злоумышленнику необходимо иметь (физический
доступ к локальной сети.
• То есть хакер должен предварительно удаленно
взломать машину, находящуюся в локальной сети, и
затем с этого компьютера пытаться реализовать
описанные атаки.
• Или же злоумышленником является один из
сотрудников компании, имеющий доступ к локальной
сети. Об этом необходимо помнить при подготовке
плана сетевой зашиты.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
72

73.

Сетевой уровень (третий уровень по модели
OSI). Один из самых сложных уровней модели
OSI, обеспечивающий маршрутизацию данных
между физическими сетями и правильную
адресацию сетевых узлов (например, по IPадресу). На этом уровне происходит также
разбиение потоков данных на более мелкие
части, а иногда и обнаружение ошибок.
Именно на этом уровне и действуют
маршрутизаторы.
4.2. Атаки на сетевом уровне
73

74.

Атаки на маршрутизаторы (роутеры)
• Маршрутизатором является устройство сетевого уровня
эталонной модели OSI.
• Роутер и маршрутизатор – два названия одного устройства.
• Маршрутизаторы - одна из самых привлекательных точек сети
для атак злоумышленников.
• Эти широко распространенные сетевые устройства часто
имеют несколько уязвимостей, не говоря уже о последствиях,
которые
может
иметь
человеческий
фактор
при
администрировании этих устройств.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
74

75.

Количество брутфорс-атак
на маршрутизаторы в 2019-2020 году
Отчет TrendMicro - Worm War: The Botnet Battle for IoT Territory (2020)
https://documents.trendmicro.com/assets/white_papers/wp-worm-war-the-botnet-battle-for-iot-territory.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
75

76.

Основная уязвимость маршрутизаторов (роутеров)
• По оценкам экспертов в 2020 году количество
подключенных к интернету IoT-устройств превысит 31 млрд
штук.
• Каждое такое устройство содержит операционную систему
с сетевым стеком и набор программ для выполнения
основных задач.
• Наиболее функциональные IoT-устройства — это роутеры.
• Обычно их прошивка представляет собой облегчённую и
довольно редко обновляемую владельцами устройств
версию Linux.
• На многих устройствах остаётся заданный производителем
пароль, что в сочетании с неисправленными уязвимостями
старого Linux превращает роутеры в идеальную цель для
захвата и подключения к ботнету.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
76

77.

Маршрутизатор. Таблицы маршрутизации
• Маршрутизатор или роутер пересылает пакеты между различными
сегментами сети на основе правил и таблиц маршрутизации.
• Таблица маршрутизации может составляться двумя способами:
• статическая маршрутизация — когда записи в таблице вводятся и
изменяются вручную. Такой способ требует вмешательства администратора
каждый раз, когда происходят изменения в топологии сети. С другой стороны,
он является наиболее стабильным и требующим минимума аппаратных
ресурсов маршрутизатора для обслуживания таблицы.
• динамическая маршрутизация — когда записи в таблице обновляются
автоматически при помощи одного или нескольких протоколов
маршрутизации — RIP, OSPF, IGRP, EIGRP, IS-IS, BGP, и др. Кроме того,
маршрутизатор строит таблицу оптимальных путей к сетям назначения на
основе различных критериев — количества промежуточных узлов, пропускной
способности каналов, задержки передачи данных и т. п. Критерии
вычисления оптимальных маршрутов чаще всего зависят от протокола
маршрутизации, а также задаются конфигурацией маршрутизатора. Такой
способ построения таблицы позволяет автоматически держать таблицу
маршрутизации в актуальном состоянии и вычислять оптимальные маршруты
на основе текущей топологии сети. Однако динамическая маршрутизация
оказывает дополнительную нагрузку на устройства, а высокая нестабильность
сети может приводить к ситуациям, когда маршрутизаторы не успевают
синхронизировать свои таблицы, что приводит к противоречивым сведениям
о топологии сети в различных её частях и потере передаваемых данных.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
77

78.

Протокол RIP
• Протокол динамической маршрутизации RIP (Routing
Information Protocol) является внутренним протоколом
маршрутизации дистанционно-векторного типа, часто
используется в небольших и средних размеров IP-сетях с
множественными путями.
• Будучи одним из наиболее ранних протоколов обмена
маршрутной информацией, он до сих пор чрезвычайно
распространен в локальных сетях ввиду простоты
реализации.
• Протоколы
динамической
маршрутизации
предназначены для нахождения оптимального маршрута
в сетях с несколькими путями. Критериями для признания
маршрута
оптимальным
может
быть
несколько
характеристик. Прежде всего по количеству переходов
(хонов), которые необходимо сделать пакету для того,
чтобы попасть из сети отправителя в сеть получателя.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
78

79.

Протокол RIP
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
79

80.

Протокол RIP
• Основными угрозами для протокола маршрутизации
RIP являются:
• ложные маршруты;
• понижение версии протокола RIP;
• взлом хэша MD5.
• Целями атак являются прослушивание трафика, его
модификация,
перенаправление
по
ложным
маршрутам.
Подробный разбор атаки и защиты на протокол RIP
представлен в книге Бирюков А. А. Информационная
безопасность: защита и нападение. - Москва: ДМК
Пресс, 2017. - 434 с.
Стр.63 - 77
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
80

81.

Протокол RIP. Атаки/Уязвимости
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=RIP
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
81

82.

Протокол OSPF
• Протокол маршрутизации OSPF (Open Shortest Path
First)
это
внутренний
шлюзовый
протокол,
используемый
для
распространения
данных
маршрутизации внутри одной автономной системы,
преимущественно используется для динамических
объединенных IP-сетей большого размера со
множественными путями.
• Как правило, протокол маршрутизации OSPF
используется при маршрутизации в корпоративных
сетях, содержащих в среднем 50 локальных сетей и
несколько тысяч хостов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
82

83.

Протокол OSPF
• OSPF является протоколом состояния канала (link-state), в
отличие от RIP, являющегося протоколом вектора
расстояний (distance-vector). Каждый маршрутизатор
обновляет свою таблицу маршрутизации на основании
векторов расстояний, который он получает от своих
соседей.
• При использовании протокола состояния канала
маршрутизатор не осуществляет обмен информацией о
расстояниях со своими соседями. Вместо этого каждый
маршрутизатор активно проверяет статус своих каналов,
ведущих к каждому соседнему маршрутизатору, и посылает
эту информацию другим своим соседям, которые могут
направить поток данных в автономную систему.
• Каждый маршрутизатор принимает информацию о
состоянии канала и уже на ее основании строит полную
таблицу маршрутизации.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
83

84.

Протокол OSPF
• Атаки на OSPF более сложны, чем на RIP.
• Основные сложности заключаются в следующем:
• 1)
маршрутизатору
злоумышленника
необходимо
симулировать пакет, для того чтобы обмениваться с другими
роутерами маршрутной информацией;
• 2) зависимость от иерархии маршрутизаторов, участвующих
в обмене маршрутной информацией OSPE роутеры,
участвующие в обмене, могут иметь различный уровень в
иерархической схеме маршрутизации.
• Основными атаками на OSPF как и на RIP являются:
ложные маршруты; взлом MD5.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
84

85.

Протокол OSPF. Пример атаки
CVE-2013-0149
https://cve.mitre.org/cgibin/cvename.cgi?name=CVE-2013-0149
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
85

86.

Протокол OSPF. Атаки/Уязвимости
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=OSPF
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
86

87.

Протокол OSPF. Полезные материалы. URL
• Cisco Learn - Open Shortest Path First (OSPF)
https://ciscolearning.ru/cisco-router/ospf/
• Понимание типов сетей OSPF
https://wiki.shibaev.info/index.php?title=Понимание_т
ипов_сетей_OSPF
• Исследуем дыры в OSPF
https://xakep.ru/2014/09/03/ospf-vulnerabilities/
• Безопасность протокола OSPF
https://www.elibrary.ru/download/elibrary_20464429_6
1862008.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
87

88.

Протокол BGP
• Протоколы динамической маршрутизации RIP и OSPF применяются
только и локальных сетях. В глобальных сетях, в силу их особенностей,
используется протокол BGP.
• BGP (Border Gateway Protocol, протокол граничного шлюза) — это
протокол динамической маршрутизации.
• Он относится к классу протоколов маршрутизации внешнего шлюза
(EGP — External Gateway Protocol).
• На текущий момент является основным протоколом динамической
маршрутизации в сети Интернет.
• BGP является протоколом прикладного уровня и функционирует
поверх протокола транспортного уровня TCP (порт 179).
• Отличием BGP от других протоколов динамической маршрутизации
является то, что он предназначен для обмена информацией о
маршрутах не между отдельными маршрутизаторами, а между
целыми автономными системами и поэтому, помимо информации о
маршрутах в сети, переносит также информацию и маршрутах на
автономные системы. BGP не использует технических метрик, а
осуществляет выбор наилучшего маршрута, исходя из правил,
принятых в сети.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
88

89.

Протокол BGP
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
89

90.

Протокол BGP. Атаки
• BGP работает на основе протокола TCP, прослушивая порт 179.
Следовательно, протокол BGP уязвим для атак на TCP, о которых
говорилось ранее:
• Атака confidentiality violations (нарушение конфиденциальности). Как
уже упоминалось ранее, маршрутные данные BGP передаются в
открытом текстовом виде, что позволяет легко перехватывать
информацию (это происходит потому, что конфиденциальность
маршрутных данных по является общим требованием).
• Атака replay (воспроизведение). BGP не включает мер по
предотвращению
повторного
использования
перехваченных
сообщений.
• Атака message insertion (вставка сообщений). BGP не включает защиты
от вставки сообщений. Однако, поскольку BGP использует
транспортный протокол TCP при завершенной организации соединения
вставка сообщений внешним узлом потребует точного предсказания
порядковых номеров (такое предсказание возможно, но весьма
затруднено для хороших реализаций TCP) или перехвата сессий.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
90

91.

Протокол BGP. Атаки
• Атака message deletion (удаление сообщений). BGP не включает
защиты от удаления сообщений. Опять-таки, такие атаки весьма
затруднены для качественных реализаций TCP, но исключить их
полностью нельзя.
• Атака message modification (изменение сообщений). BGP не
включает защиты от изменения сообщений. Синтаксически
корректная модификация без изменения размера данных TCP в
общем случае будет незаметной.
• Атака Man-in-the-middle (атаки с участием человека). BGP не
включает средств защиты от MITM-атак. BGP не использует
аутентификации партнеров, и такие атаки становятся «детской
игрушкой».
• Атака denial of service (атаки на службы). Хотя ложные
маршрутные данные сами по себе могут служить DoS-атакой на
конечную систему, пытающуюся передавать данные через сеть, и
сеть в целом, некоторые виды ложной информации могут
создавать DoS-атаки на сам протокол BGP.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
91

92.

Нарушение в протоколе BGP в результате атак
• нарушение starvation (потеря пакетов) - трафик, адресованный
узлу, пересылается в ту часть сети, которая не может обеспечить
его доставку, в результате чего происходит потеря трафика;
• нарушение network congestion (перегрузка сети) через какуюлибо часть сети будет пересылаться больше данных, нежели эта
сеть способна обработать. Это разновидность атаки на отказ в
обслуживании;
• нарушение blackhole (черная дыра) - большое количество
трафика направляется для пересылки через один маршрутизатор,
который не способен справиться с возросшим уровнем трафика и
будет отбрасывать часть, большинство или все пакеты;
• нарушение delay (задержка) - данные, адресованные узлу,
пересылаются но более длинному пути, чем обычно. Это
нарушение может привести как к задержкам при передаче
данных, что особенно заметно при передаче потокового видеоили аудио-контента, так и к потере части трафика, так как у
некоторых пакетов может истечь значение Time То Live, время
жизни, из-за слишком длинного пути;
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
92

93.

Нарушение в протоколе BGP в результате атак
• нарушение looping (петли) данные передаются по замкнутому
пути и никогда не будут доставлены;
• нарушение eavesdrop (перехват) - данные пересылаются через
какой-либо маршрутизатор или сеть, которые не должны видеть
этих данных, информация при такой пересылке может
просматриваться. Как правило, при таких нарушениях
злоумышленники специально направляют трафик через сегмент
сети, который они могут прослушивать. Обычно подобным
способом добывается конфиденциальная информация о
кредитных картах, паролях, кодах доступа и т. д.;
• нарушение partition (разделение сети) некоторые части кажутся
отделенными от сети, хотя на самом деле это не так. В результате
данного нарушения через части может не проходить трафик, что
отрицательно скажется на работе сети в целом;
• нарушение cut (отключение) - некоторые части сети могут
казаться отрезанными от сети, хотя реально они подключены. Но
аналогии с предыдущим нарушением, через некоторые части
может не проходить график;
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
93

94.

Нарушение в протоколе BGP в результате атак
• нарушение churn (волны) - скорость пересылки в сеть
изменяется быстрыми темпами, что приводит к значительным
вариациям картины доставки пакетов (и может неблагоприятно
влиять на работу системы контроля насыщения);
• нарушение instability (нестабильность) работа BGP становится
нестабильной, и не удастся достичь схождения картины
маршрутов;
• нарушение overload (перегрузка) - сообщения BGP сами по себе
становятся значительной частью передаваемого через сеть
трафика;
• нарушение resource exhaustion (истощение ресурсов)
сообщения BGP сами но себе отнимают слишком много ресурсов
маршрутизатора (например, пространства таблиц);
• нарушение address-spoofing (обманные адреса) - данные
пересылаются через некий маршрутизатор или сеть, которые
являются подставными и могут служить для перехвата или
искажения информации. Данное нарушение аналогично
нарушению перехват.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
94

95.

Протокол BGP. Атаки/Уязвимости
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=BGP
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
95

96.

Протокол BGP. Известные атаки
• Сегодня
ИБ-специалисты
фиксируют
тысячи
инцидентов, связанных с BGP. Большинство из них
незначительные, однако есть и довольно крупные:
• 2014 год — кража криптовалюты
• 2017 год — отключение интернета в Японии
• 2019 год — европейский трафик ушел в Китай
• 2019 год — сбой в работе интернета по всему миру
Подробнее: Какие инциденты с Border Gateway Protocol можно выделить за
последние несколько лет https://habr.com/ru/company/cloud_mts/blog/459400/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
96

97.

Протокол BGP. Полезные материалы. URL
• Border Gateway Protocol
https://ru.wikipedia.org/wiki/Border_Gateway_Protocol
• BGP протокол (перевод на русский)
https://www.opennet.ru/docs/RUS/bgp_rus/
• Принципы работы протокола BGP
https://habr.com/ru/post/450814/
• Сети для самых маленьких. Часть восьмая. BGP и IP
SLA https://linkmeup.ru/blog/1198/
• RFC 4272 — Анализ уязвимостей протокола BGP
https://muff.kiev.ua/files/books/RFC_4272_Analysis_BG
P.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
97

98.

Протокол IS-IS
• IS-IS — это протокол внутренней маршрутизации для
использования во внутренних сетях. Этим он отличается от
протоколов внешней маршрутизации, в первую очередь от
Border Gateway Protocol (BGP), который используется для
маршрутизации между автономными системами.
• IS-IS - протокол, основанный на состояниях линков, он
оперирует информацией о состоянии линков других
маршрутизаторов. Каждый маршрутизатор IS-IS формирует
собственную базу топологии сети, собирая полученную
информацию.
• Как IS-IS, так и OSPF - протоколы, основанные на состояниях
(link-state). Оба поддерживают переменную длину маски,
могут использовать групповое вещание для обнаружения
соседних маршрутизаторов посредством hello-пакетов и
могут работать с аутентификацией обмена маршрутами.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
98

99.

Протокол IS-IS
• Протокол маршрутизации промежуточных систем
(IS-IS) — это протокол внутренних шлюзов (IGP),
стандартизированный ISO и использующийся в
основном в крупных сетях провайдеров услуг.
• IS-IS может также использоваться в корпоративных
сетях особо крупного масштаба.
• IS-IS — это протокол маршрутизации на основе
состояния каналов. Он обеспечивает быструю
сходимость и отличную масштабируемость. Как и все
протоколы на основе состояния каналов, IS-IS очень
экономно использует пропускную способность сетей.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
99

100.

Протокол IS-IS. Атаки
• Основные атаки на протокол IS-IS:
• Ложные маршруты
• «Затопление» Hello-пакетами
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
100

101.

Протокол IS-IS. Полезные материалы. URL
• IS-IS https://ru.wikipedia.org/wiki/IS-IS
• IS-IS для тех, кто понимает OSPF (Часть 1)
https://community.cisco.com/t5/маршрутизация-икоммутация-блоги/is-is-для-тех-кто-понимает-ospfчасть-1/ba-p/3103119
• IS-IS для тех, кто понимает OSPF (Часть 2)
https://community.cisco.com/t5/маршрутизация-икоммутация-блоги/is-is-для-тех-кто-понимает-ospfчасть-2/ba-p/3103435
• IS-IS для тех, кто понимает OSPF (Часть 3)
https://community.cisco.com/t5/маршрутизация-икоммутация-блоги/is-is-для-тех-кто-понимает-ospfчасть-3/ba-p/3104734
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
101

102.

Протокол MPLS
• Представленные ранее протоколы сетевого уровня можно
назвать
«классическими»,
с
точки
зрения
функционирования на сетевом уровне иерархической
модели OSI.
• Протокол MPLS (мультипротокольная коммутация по
меткам) взаимодействует сразу на двух уровнях модели:
метка добавляется между заголовком кадра (второй
уровень OSI) и заголовком пакета (третий уровень модели
OSI).
• MPLS (Multiprotocol Label Switching) — это технология
быстрой коммутации пакетов в многопротокольных сетях,
использовании
меток.
MPLS
основанная
на
разрабатывается и позиционируется как способ построения
высокоскоростных IP-магистралей, однако область ее
применения не ограничивается протоколом IP, а
распространяется на график любого маршрутизируемого
сетевого протокола.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
102

103.

Протокол MPLS
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
103

104.

Протокол MPLS
• Безопасность в сетях MPLS и MPLS-VPN поддерживается с
помощью сочетания протокола BGP и системы разрешения
IP-адресов.
• Безопасность
VPN
обеспечивается
на
границе
инфраструктуры, где пакеты, полученные от пользователя,
отправляются в нужную VPN-сеть. В магистрали данные
отдельных VPN-сетей перемешаются отдельно. Это
достигается путем добавления стека MPLS меток перед IPзаголовком пакета.
• Механизм виртуального маршрутизатора полностью
изолирует таблицы маршрутизации MPLS VPN от
глобальных таблиц маршрутизации, что обеспечивает
необходимые уровни надежности и масштабируемости
решений MPLS VPN.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
104

105.

Протокол MPLS
• Технология MPLS и MPLS VPN не обеспечивает безопасности за
счет аутентификации или шифрования. То есть информация
перелается через сеть MPLS с использованием виртуальных
каналов в открытом виде. В то же время трафик пользователей,
входящих в разные домены, изолирован друг от друга путем
добавления уникальных меток. Таким образом попытки
перехвата пакета или потока Трафика не могут привести к
прорыву нарушителя в VPN. В сети MPLS VPN пакет данных,
поступающих в магистраль, ассоциируется с конкретной сетью
VPN на основании того, но какому интерфейсу пакет поступил
на РЕ-маршрутизатор. Затем происходит сверка IP-адреса с
таблицей передачи конкретной VPN. Назначенные в таблице
маршруты относятся только к VPN входящего пакета.
Следовательно, входящий интерфейс определяет набор
возможных исходящих интерфейсов. Эта функция также
предотвращает как попадание несанкционированных данных в
сеть VPN, так и передачу несанкционированных данных из неё.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
105

106.

Протокол MPLS. Атаки/Уязвимости
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=MPLS
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
106

107.

Протокол MPLS. Полезные материалы. URL
• Сети для самых маленьких. Часть десятая. Базовый
MPLS https://habr.com/ru/post/246425/?mobile=no
• Технологии MPLS https://ppt-online.org/44154
• Гольдштейн, А. Б. Транспортные сети IP/MPLS.
Технология и протоколы : учебное пособие / А. Б.
Гольдштейн, А. В. Никитин, А. А. Шкрыль : СПбГУТ. –
СПб., 2016. – 80 с. http://rtitt.sut.ru/sites/default/files/docs/metodbk/31a_goldshteyn_nikitin_shkryl_mpls.pdf
• Ответы на вопросы по MPLS для начинающих
https://www.cisco.com/c/ru_ru/support/docs/multiprot
ocol-label-switching-mpls/mpls/4649-mpls-faq-4649.pdf
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
107

108.

IPSec
• IPSec (сокращение от IP Security) это набор
протоколов, предназначенных для шифрования,
аутентификации
и
обеспечения
зашиты
при
транспортировке IP-пакетов.
• IPSec - определенный IETF стандарт достоверной/
конфиденциальной передачи данных по сетям IP. Чаще
всего IPSec используется для создания VPN (Virtual
Private Network).
• IPSec является неотъемлемой частью IPv6 - Интернетпротокола следующего поколения, и расширением
существующие версии Интернет-протокола IPv4.
• IPSec часто используется для создания защищенных
туннелей между центрами обработки данных.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
108

109.

Протокол IPSec. Атаки/Уязвимости
https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=IPSec
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
109

110.

Протокол IPsec. Полезные материалы. URL
• Анатомия IPsec. Проверяем на прочность
легендарный протокол
https://habr.com/ru/company/xakep/blog/256659/
• Безопасность IPSec
https://spy-soft.net/ipsec-security/
• Методическое пособие. IPSec.
http://dfe.petrsu.ru/koi/posob/security/
• Лекция - Защита на сетевом уровне – протокол IPSec.
http://yztm.ru/lekc2/l20/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
110

111.

Scapy – универсальное средство
для сетевых атак
• Scapy – интерактивная оболочка и программная библиотека для
манипулирования
сетевыми
пакетами
на
языке
программирования Python
• https://scapy.net – Официальный сайт Scapy
• https://scapy.net/download/ - Скачать Scapy
• https://scapy.readthedocs.io/en/latest/ - Документация Scapy
• Scapy использует библиотеку libpcap и может использоваться как
сниффер, для перехвата и анализа сетевого трафика, так и как
конструктор пакетов. Помимо использование стандартных
протоколов, в Scapy есть возможность создавать собственные и
использовать их при анализе и генерации пакетов.
• Отличительной особенностью Scapy является возможность в
несколько строчек кода подстраиваться под различные задачи, и
по заверению автора она может заменить такие утилиты как
hping, nmap, arpspoof, arp-sk, arping, tcpdump, tethereal, p0f.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
111

112.

Сниффинг пакетов
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
112

113.

Снифферы пакетов
• Сниффер пакетов представляет собой прикладную
программу,
которая
использует
сетевую
карту,
работающую в режиме promiscuous mode (в этом режиме
все пакеты, полученные по физическим каналам, сетевой
адаптер отправляет приложению для обработки).
• При этом сниффер перехватывает все сетевые пакеты,
которые передаются через определенный домен.
• В настоящее время снифферы работают в сетях на вполне
законном основании. Они используются для диагностики
неисправностей и анализа трафика. Однако ввиду того, что
некоторые сетевые приложения передают данные в
текстовом формате (telnet, FTP, SMTP, POP3 и т.д.), с
помощью сниффера можно узнать полезную, а иногда и
конфиденциальную информацию (например, имена
пользователей и пароли).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
113

114.

Снифферы пакетов
• Перехват имен и паролей создает большую опасность, так как
пользователи часто применяют один и тот же логин и пароль для
множества приложений и систем. Многие пользователи вообще
имеют один пароль для доступа ко всем ресурсам и приложениям.
• Если приложение работает в режиме клиент/сервер, а
аутентификационные данные передаются по сети в читаемом
текстовом формате, эту информацию с большой вероятностью можно
использовать для доступа к другим корпоративным или внешним
ресурсам.
• Хакеры слишком хорошо знают и используют наши человеческие
слабости (методы атак часто базируются на методах социальной
инженерии).
• Они прекрасно знают, что пользователи пользуются одним и тем же
паролем для доступа к множеству ресурсов, и поэтому им часто
удается, узнав наш пароль, получить доступ к важной информации.
В самом худшем случае хакер получает доступ к пользовательскому
ресурсу на системном уровне и с его помощью создает нового
пользователя, которого можно в любой момент использовать для
доступа в сеть и к ее ресурсам.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
114

115.

Снифферы пакетов
• Смягчить угрозу сниффинга пакетов можно с
помощью следующих средств:
• Аутентификация
• Коммутируемая инфраструктура
• Анти-снифферы
• Криптография
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
115

116.

Снифферы пакетов
• SolarWinds
• tcpdump
• Windump
• Wireshark
• tshark
• Network Miner
• Fiddler (HTTP)
• Capsa
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
116

117.

IP-спуфинг
• IP-спуфинг происходит, когда хакер, находящийся внутри корпорации или вне ее
выдает себя за санкционированного пользователя.
• Это можно сделать следующим образом, хакер может воспользоваться IP-адресом,
находящимся в пределах диапазона санкционированных IP-адресов, или
авторизованным внешним адресом, которому разрешается доступ к определенным
сетевым ресурсам.
• Атаки IP-спуфинга часто являются отправной точкой для прочих атак. Классический
пример - атака DoS, которая начинается с чужого адреса, скрывающего истинную
личность хакера.
• Обычно IP-спуфинг ограничивается вставкой ложной информации или вредоносных
команд в обычный поток данных, передаваемых между клиентским и серверным
приложением или по каналу связи между одноранговыми устройствами.
• Для двусторонней связи хакер должен изменить все таблицы маршрутизации, чтобы
направить трафик на ложный IP-адрес. Некоторые хакеры, однако, даже не пытаются
получить ответ от приложений. Если главная задача состоит в получении от системы
важного файла, ответы приложений не имеют значения.
• Если же хакеру удается поменять таблицы маршрутизации и направить трафик на
ложный IP-адрес, хакер получит все пакеты и сможет отвечать на них так, будто он
является санкционированным пользователем.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
117

118.

IP-спуфинг
• Угрозу спуфинга можно ослабить (но не
устранить) с помощью следующих мер:
• Контроль доступа
• Фильтрация RFC 2827
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
118

119.

Транспортный уровень (четвертый по модели OSI).
Основное назначение транспортного уровня —
предоставить
надежные
транспортные
услуги
нижележащим уровням. Благодаря управлению потоком
данных, их сегментации и десегментации, исправлению
ошибок на транспортном уровне обеспечивается
безошибочная доставка данных из одной точки сети в
другую. Обеспечить надежную доставку данных крайне
сложно, поэтому в модели OSI для этой цели выделен
отдельный
уровень.
На
транспортном
уровне
используются протоколы как с установлением
соединения, так и без него. Именно на этом уровне и
действуют
определенные
брандмауэры
и
промежуточные, так называемые прокси-серверы.
4.3. Атаки на транспортном уровне
119

120.

TCP и UDP
• На транспортном уровне используются два основных
протокола - это TCP и UDP:
• TCP протокол - Transmission Control Protocol (протокол
управления передачей) — один из основных протоколов передачи
данных интернета. Предназначен для управления передачей данных
интернета. Механизм TCP предоставляет поток данных с
предварительной установкой соединения, осуществляет повторный
запрос данных в случае потери данных и устраняет дублирование при
получении двух копий одного пакета, гарантируя тем самым (в отличие
от UDP) целостность передаваемых данных и уведомление отправителя
о результатах передачи.
• UDP протокол - User Datagram Protocol (протокол
пользовательских датаграмм) — один из ключевых элементов набора
сетевых протоколов для Интернета. С UDP компьютерные приложения
могут посылать сообщения другим хостам по IP-сети без необходимости
предварительного сообщения для установки специальных каналов
передачи или путей данных. Природа UDP как протокола без сохранения
состояния также полезна для серверов, отвечающих на небольшие
запросы от огромного числа клиентов, например DNS и потоковые
мультимедийные приложения вроде IPTV, Voice over IP, протоколы
туннелирования IP и многие онлайн-игры.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
120

121.

Проблемы протокола ТСР
• Максимальный размер сегмента. TCP требует явного указания
максимального размера сегмента (MSS) в случае, если виртуальное
соединение осуществляется через сегмент сети, где максимальный размер
блока (MTU) менее, чем стандартный MTU Ethernet (1500 байт).
• В протоколах туннелирования, таких как GRE, IPIP, а также PPPoE MTU туннель
чем стандартный, поэтому сегмент TCP максимального размера имеет длину пакета
больше, чем MTU. Это приводит к фрагментации и уменьшению скорости передачи
полезных данных. Если на каком-либо узле фрагментация запрещена, то со стороны
пользователя это выглядит как «зависание» соединений. При этом «зависание»
может происходить в произвольные моменты времени, а именно тогда, когда
отправитель использовал сегменты длиннее допустимого размера. Для решения этой
проблемы на маршрутизаторах применяются правила Firewall-а, добавляющие
параметр MSS во все пакеты, инициирующие соединения, чтобы отправитель
использовал сегменты допустимого размера.
• MSS может также управляться параметрами операционной системы.
• Обнаружение ошибок при передаче данных. Хотя протокол
осуществляет проверку контрольной суммы по каждому сегменту,
используемый алгоритм считается слабым.
• Атаки на протокол. Недостатки протокола проявляются в успешных
теоретических и практических атаках, при которых злоумышленник может
получить доступ к передаваемым данным, выдать себя за другую сторону
или привести систему в нерабочее состояние. Пример атак: TCP hijacking и
Атака TCP Reset.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
121

122.

Атаки на TCP
• Атаки на TCP
• IP-spoofing
• TCP Hijacking
• Десинхронизация нулевыми данными
• Сканирование сети
• SYN-флуд
• Атака Teardrop
• Важно отметить, что все приведенные атаки хорошо известны, и
в большинстве моделей сетевого оборудования существуют
механизмы для эффективной зашиты. Однако эти механизмы
далеко не всегда используются но своему назначению.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
122

123.

Атака IP spoofing
• IP-спуфинг (от англ. spoof — мистификация) —
1.
2.
Вид атаки, заключающийся в использовании чужого IP-адреса
источника с целью обмана системы безопасности.
Метод, используемый в некоторых атаках. Состоит в изменении поля
«адрес отправителя» IP-пакета. Применяется с целью сокрытия
истинного адреса атакующего, с целью вызвать ответный пакет на
нужный адрес, а также с иными целями.
• Для злоумышленника базовый принцип атаки заключается в фальсификации
собственных заголовков IP-пакетов, в которых изменяется, среди прочего, IP-адрес
источника. Атака IP-спуфинг часто называется «слепой подменой» (Blind Spoofing).
Это связано с тем, что ответы на фальсифицированные пакеты не могут прийти
машине крэкера, так как был изменён исходящий адрес. Однако всё-таки существуют
два метода получения ответов:
1.
2.
Маршрутизация от источника (Source routing): в протоколе IP существует возможность
маршрутизации от источника, которая позволяет задавать маршрут для ответных
пакетов. Этот маршрут представляет собой набор IP-адресов маршрутизаторов, через
которые должен проследовать пакет. Для крэкера достаточно предоставить маршрут для
пакетов до маршрутизатора, им контролируемого. В наше время большинство
реализаций стека протоколов TCP/IP отбраковывают пакеты с маршрутизацией от
источника;
Перемаршрутизация (Re-routing): если маршрутизатор использует протокол RIP, то его
таблицы можно изменить, присылая ему RIP-пакеты с новой информацией о маршрутах.
С помощью этого крэкер добивается направления пакетов на подконтрольный ему
маршрутизатор.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
123

124.

Пример применения IP-спуфинга
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
124

125.

TCP Hijacking
• TCP Hijacking — Разновидность атаки «Человек
посередине»,
когда
атакующий
способен
просматривать пакеты участников сети и посылать
свои собственные пакеты в сеть. Атака использует
особенности установления соединения в протоколе
TCP, и может осуществляться как во время «тройного
рукопожатия», так и при установленном соединении.
• Проблема возможной подмены TCP-сообщения
важна, так как анализ протоколов FTP и TELNET,
реализованных на базе протокола TCP, показал, что
проблема идентификации FTP и TELNET-пакетов
целиком возлагается данными протоколами на
транспортный уровень, то есть на TCP.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
125

126.

Десинхронизация нулевыми данными
• В этом случае взломщик Е дожидается момента, когда пользователи А
и Б по обмениваются данными, и посылает пользователю А от имени
Б сегменте «нулевыми» данными и еще один сегмент для Б от имени
А также с «нулевыми» данными.
• Под
«пулевыми»
понимаются
данные,
которые
будут
проигнорированы па прикладном уровне, то есть приложение,
которому они адресованы, не пошлет никаких данных в ответ.
• Такой метод десинхронизации удобен для Telnet-соединений, потому
что и этом случае время ожидания неактивности невелико. Сегменте
пулевыми данными может содержать некоторое число команд IAC
NOP (нет операции).
• Защититься от такой атаки можно, контролируя переход в
десинхронизованное состояние, обмениваясь информацией о
sequence number, acknowledgement number. Но злоумышленник может
менять эти значения, ведь он прослушивает пакеты. Более надежной
защитой кажется отслеживание АСК-бурь.
• Применение криптографически стойкого алгоритма для шифрования
ТCР-потока - наиболее надежный способ защиты.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
126

127.

Сканирование сети
• Цель этой атаки состоит в том. чтобы выяснить, какие
компьютеры подключены к сети и какие сетевые сервисы
на них запущены.
• Первая задача в простейшем случае решается путем
посылки Echo-(собшений протокола ICMP с помощью
утилиты ping с последовательным перебором всех адресов
сети
или
отправкой
Echo-сообщения
по
широковещательному адресу.
• Для сканирования TCP-портов существует несколько
способов. Самый простой - установление ТСР-сосдинсний с
тестируемым портом. В этом случае пошляется большое
количество открытых и сразу прерванных соединении,
поэтому и гаку в такой реализации просто обнаружить.
• Наиболее известные сканеры сети: Rapid7 Nexpose, Tenable
Nessus, OpenVAS, Nmap и др.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
127

128.

Пример сканера сети
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
128

129.

SYN-флуд
• SYN-флуд — одна из разновидностей сетевых атак типа отказ от
обслуживания (Dos-атака), которая заключается в отправке большого
количества SYN-запросов (запросов на подключение по протоколу TCP) в
достаточно короткий срок (RFC 4987).
• Цель - привести узел в состояние, когда он не сможет принимать запросы
на открытие новых соединений, а в худшем случае «зависнет».
• Согласно процессу «трёхкратного рукопожатия» TCP, клиент посылает пакет с установленным флагом
SYN (synchronize). В ответ на него сервер должен ответить комбинацией флагов SYN+ACK (acknowledges).
После этого клиент должен ответить пакетом с флагом ACK, после чего соединение считается
установленным.
• Принцип атаки заключается в том, что злоумышленник, посылая SYN-запросы, переполняет на сервере
(цели атаки) очередь на подключения. При этом он игнорирует SYN+ACK пакеты цели, не высылая
ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK
отправляется на несуществующий адрес. В очереди подключений появляются так называемые
полуоткрытые соединения (англ. half-open connection), ожидающие подтверждения от клиента. По
истечении определенного тайм-аута эти подключения отбрасываются. Задача злоумышленника
заключается в том, чтобы поддерживать очередь заполненной таким образом, чтобы не допустить
новых подключений. Из-за этого клиенты, не являющиеся злоумышленниками, не могут установить
связь, либо устанавливают её с существенными задержками.
• Атака основывается на уязвимости ограничения ресурсов операционной системы для полуоткрытых
соединений, описанной в 1996 году группой CERT, согласно которой очередь для таких подключений
была очень короткой (например, в Solaris допускалось не более восьми подключений), а тайм-аут
подключений — достаточно продолжительным (по RFC 1122 — 3 минуты).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
129

130.

Атака Teardrop (Атака фрагментированными пакетами)
• TearDrop - разновидность DoS-нападения. Пакетная фрагментация.
• Отказ в обслуживании, достигаемый с помощью пакетной
фрагментации использует уязвимости некоторых стеков TCP/IP,
связанных с дефрагментацией пакетов (сборкой IP-фрагментов).
• Атака Teardrop – это один из вариантов DoS-атаки, особенно
эффективный для устройств, работающих на базе устаревших
операционных систем (Windows 95, Windows NT, старые версии Linux).
Метод основан на отправке в адрес целевого хоста небольших
фрагментов, которые невозможно собрать в единый объект. Такой
эффект достигается через манипуляцию полем Fragment offset в
заголовке пакета. В случае корректной передачи данных там
указывается смещение конкретного блока от начала объекта — его
координаты относительно первого фрагмента.
• При атаке фрагментированными пакетами значение Fragment offset
указывается некорректно. При сборке блоки накладываются друг на
друга, что приводит к неработоспособности программы. Большинство
современных ОС нечувствительны к этой атаке.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
130

131.

Атаки на протокол UDP
• На протокол UDP существует не так много атак, как на
TCP. Это можно объяснить прежде всего тем, что этот
протокол менее распространен. К тому же отсутствие
установки соединения лишает самой возможности
реализации целого ряда атак, характерных для TCP.
• Виды атак на UDP
• UDP Storm
• Атаки на протокол ICMP
• Сброс соединений (reset)
• Снижение скорости
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
131

132.

UDP Storm
• Используется в том случае, если на жертве открыто как
минимум два UDP порта, каждый из которых отсылает
отправителю какой-нибудь ответ.
• Например, порт 37 с сервером time на запрос отправляет
текущую дату и время. Взломщик отправляет UDP пакет на
один из портов жертвы, но в качестве отправителя
указывает адрес жертвы и второй открытый UDP порт
жертвы. Тогда порты начинают бесконечно отвечать друг
другу, что снижает производительность. Шторм
прекратится, как только один из пакетов пропадёт
(например, из-за перегрузки ресурсов).
• Рекомендации: по возможности исключить использование
сервисов, которые принимают UDP пакеты, либо отрезать
их от внешней сети межсетевым экраном.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
132

133.

UDP Storm
• Для протокола UDP так же, как и для других
протоколов,
характерны
DoS-атаки
«отказ
в
обслуживании».
• Для реализации данного вида атак необходимо
сгенерировать большое количество UDP-пакетов,
направленных на определенную машину.
• В результате успешной атаки происходит либо
зависание, либо его перезагрузка. Осуществить атаку
можно из-за того, что в UDP отсутствует механизм
предотвращения перегрузок.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
133

134.

Атаки на протокол ICMP
• Протокол TCP в настоящее время является основным
транспортным протоколом в сетях IP и, в частности, в
сети Интернет.
• Широкое распространение этого протокола делает его
привлекательным объектом атак.
• Атаки на TCP соединения можно осуществлять с
помощью пакетов ICMP.
• С помощью ряда атак существует возможность
существенного снижения скорости обмена данными и
даже полного разрыва произвольных соединений TCP с
помощью
передачи
потока
специально
подготовленных пакетов ICMP с удаленного хоста.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
134

135.

Сброс соединений (reset)
• В соответствии со стандартом Интернета «Требования к хостам» хостам следуй
разрывать соответствующее соединение TCP в ответ на получение сообщения ICMP
о критичной ошибке. Используя это, атакующий может вслепую сбросить соединение
между парой станций, передавая одному из хостов сообщения ICMP, указывающие на
такой тип ошибки.
• Например, можно передавать одной из сторон соединения сообщения о том, что
другая сторона не поддерживает соответствующего протокола (Protocol Unreachable),
от имени того самого хоста (другой стороны соединения). В таких сообщениях сложно
усмотреть что-либо подозрительное, поэтому можно надеяться, что они не будут
отброшены тем или иным фильтром па пути от атакующего. Необходимость
выполнения атаки вслепую практически не осложняет ее организации, поскольку
атакующему для успеха не требуется получать каких-либо пакетов от объекта атаки.
Не требуется от атакующего и организации перехвата пакетов или изменения пути их
доставки, поскольку он должен лишь направить подготовленные пакеты ICMP,
содержащие код одной из критических ошибок и квартет идентификации соединения
в ноль данных ICMP, по адресу сервера или клиента в атакуемом соединении. В
соответствии с заданной для протокола TCP политикой обработки ошибок получение
сообщения ICMP, в поле данных которого содержится заголовок IP с адресами клиента
и сервера, а также заголовок TCP с используемыми в данном соединении номерами
портов приведет к немедленному разрыву сообщения. При этом ни у одного из
участников соединения не остается в журнальных файлах никакой информации об
источнике атаки, поскольку в полученных пакетах могут исползоваться (и обычно
используются) подставные адреса отправителя (обычно это адрес другой стороны
атакуемого соединения).
• Следует отмстить, что на сегодняшний день далеко не все реализации стека TCP/IP
подвержены этой уязвимости.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
135

136.

Снижение скорости
• Кроме возможности сброса соединений TCP пакеты
ICMP позволяют существенно снизить скорость
передачи данных через соединения, не нарушая их
работы полностью.
• Для выполнения такой задачи передаются сообщения
ICMP о некритических ошибках (тип 3 с кодом 4 и тип 4
с кодом 0). Механизм такой атаки весьма похож на
описанную выше атаку для разрыва соединений.
• Следует отметить, что атаки, приводящие к снижению
скорости передачи данных через соединение, в
некоторых случаях могут доставить даже больше
хлопот, нежели полный разрыв соединений.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
136

137.

5. Обзор отдельных видов сетевых атак
137

138.

5.1. DoS \ DDoS Атаки
Denial of Service «отказ в обслуживании»
Distributed Denial of Service, распределённая атака типа «отказ в обслуживании»
138

139.

DoS-атака
• DoS (аббр. англ. Denial of Service «отказ в обслуживании»)
—атака на вычислительную систему с целью довести её до
отказа, то есть создание таких условий, при которых
добросовестные пользователи системы не смогут получить
доступ к предоставляемым системным ресурсам
(серверам), либо этот доступ будет затруднён.
• Отказ «вражеской» системы может быть и шагом к
овладению системой (если в нештатной ситуации ПО
выдаёт какую-либо критическую информацию —
например, версию, часть программного кода и т. д.).
• Но чаще это мера экономического давления: потеря
простой службы, приносящей доход, счета от провайдера
и меры по уходу от атаки ощутимо бьют «цель» по
карману. В настоящее время DoS и DDoS-атаки наиболее
популярны, так как позволяют довести до отказа
практически любую плохо написанную систему, не
оставляя юридически значимых улик.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
139

140.

Классификация DoS-атак
• Хакерам гораздо легче осуществить DoS-атаку на
систему, чем получить полный доступ к ней.
• Существуют различные причины, из-за которых может
возникнуть DoS-условие, то есть такая ситуация, при
которой пользователи не могут получить доступ к
ресурсам, которые предоставляет сервер, либо доступ к
ним существенно затруднен:
• Насыщение полосы пропускания
• HTTP-флуд и ping-флуд
• Smurf-атака (ICMP-флуд)
• Атака Fraggle (UDP-флуд)
• Атака с помощью переполнения пакетами SYN (SYNфлуд)
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
140

141.

Отличие DoS от DDoS атак
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
141

142.

DDoS-атака
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
142

143.

DDoS атаки (Distributed Denial of Service)
• DDoS (распределенный отказ в обслуживании) — атака на
компьютерную систему или сетевую службу с целью
предотвращения операции путем захвата всех свободных
ресурсов, осуществляемой одновременно со многих
компьютеров (например, зомби).
• DDoS-атака — это тип DoS-атаки, которая включает в себя
атаку жертвы из нескольких мест одновременно.
• Компьютеры чаще всего используются для проведения атаки,
над которой они взяли управление, используя специальное
программное обеспечение (различные типы так называемых
ботов и троянов). По заданному сигналу компьютеры
одновременно атакуют систему жертвы, наводняя ее ложными
попытками использовать предлагаемые услуги.
• Для каждого такого вызова атакованный компьютер должен
выделять некоторые ресурсы (память , процессорное время,
пропускную способность сети), что при очень большом
количестве запросов приводит к истощению доступных
ресурсов и, как следствие, к сбою в работе или даже к
системному сбоям.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
143

144.

DDoS-атаки — Layer 3 и Layer 7 OSI
• Основные типы DDoS-атак — Layer 3 и Layer 7. Они названы так
в соответствии с уровнями сетевой модели OSI, на которых
выполняются.
• Layer 3 DDoS нацелен на сетевое оборудование и соединения.
В ходе атаки создаётся огромный паразитный трафик,
например, с помощью SYN-пакетов (syn-flood). Этот трафик
забивает канал связи и блокирует прохождение легитимных
пакетов. В настоящее время большинство крупных хостингпровайдеров и дата-центров сегодня хорошо защищены от атак
Layer 3, поэтому в этом посте мы сосредоточимся на другой
разновидности атак, противостоять которой несколько
сложнее.
• DDoS-атаки Layer 7 нацелены непосредственно на
приложения, которые работают на сервере. Цель здесь — не
отключить сеть, а добиться остановки приложения или даже
сервера путём перегрузки его штатными прикладными
запросами. Это приводит к нехватке ресурсов процессора,
оперативной памяти или и того и другого и фактически
останавливает работу.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
144

145.

Архитектура DDoS-Атаки
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
145

146.

Архитектура DDoS-Атаки
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
146

147.

Карта DDoS-атак в реальном времени
https://www.digitalattackmap.com/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
147

148.

Виды DDoS атак
• ICMP-флуд
(Smurf-атака).
В
этом
случае
по
широковещательному адресу злоумышленник отправляет
поддельный ICMP-пакет, в котором адрес атакующего
меняется на адрес жертвы. Все узлы присылают ответ на
данный ping-запрос.
• UDP-флуд. Этот вид атак использует UDP-протокол. Его
характерные особенности — отсутствие необходимости в
установлении сессии и отправки какого-либо ответа. На
случайные порты хост-машины приходит бесчисленное
количество пакетов, принуждая постоянно проверять,
слушает ли данный порт какое-то приложение, и в случае
ошибки возвращать пакет «ICMP Destination Unreachable».
Естественно, такая активность поглощает ресурсы хостмашины, приводя к ее недоступности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
148

149.

Виды DDoS атак
• SYN-флуд. Данный вид атаки основан на попытке запуска
большого числа одновременных TCP-соединений через
посылку SYN-пакета с несуществующим обратным адресом.
После нескольких попыток отослать в ответ АСК-пакет на
недоступный адрес большинство операционных систем
ставят неустановленное соединение в очередь. И только
после п-ой попытки закрывают соединение. Поскольку
поток АС К-пакетов очень большой, вскоре очередь
оказывается заполненной, и ядро отказывает в попытках
открыть новое соединение.
• НТТР-флуд. В этом случае атакующий отсылает небольшие
НТТР-пакеты, которые заставляют в свою очередь отвечать
сервер пакетами, размеры которых значительно больше.
Тем самым злоумышленник имеет большой шанс насытить
полосу пропускания жертвы и вызвать отказ в работе
сервисов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
149

150.

Виды DDoS атак
• Отраженная DDoS-атака с усилением. Эта атака основана на
транспортном протоколе UDP. который активно используется многими
важными интернет-сервисами, в частности DNS (всем известный
Domain Name Service) и NTP (менее известный Network Time Protocol),
хотя сегодня уже ведутся атаки и с помощью сервисов потокового
вещания. Самое главное в этом случае, что нет «рукопожатия», т.е.
сервис «не проверяет» адрес отправителя. Другими словами, кто
угодно может послать U DP-пакет от чьего угодно имени (I P-адреса).
Соответственно, атакующий посылает UDP-пакет на сервис (обычно
DNS или NTP) oт имени жертвы (с ее IP-адреса) и сервис отвечает не на
IP-адрес атакующего, а на IP-адрес жертвы. Вот почему и название у
атаки — «отражение». Но этого недостаточно для успешной DDoSатаки. В названии присутствует еще слово «усиление». В данном
случае у DNS- и NTP-служб есть приятная для атакующего особенность
— множитель. Это выглядит следующим образом: атакующий от
имени жертвы отправляет на DNS-или NTP-сервер пакет размером 1
кбайт, a DNS-или NTP-сервер отвечает на адрес жертвы пакетом в nраз больше. Вот это и есть то самое усиление, о котором было сказано
в самом начале. Отсюда и название «усиленная отраженная DDoSатака».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
150

151.

Виды DDoS атак
• Slow HTTP Post. Атака заключается в отправке серверу
большого HTTP POST-запроса маленькими частями (по 1
байту). По стандарту HTTP-сервер должен дождаться
полной передачи данных (получив содержимое размером
1 байт) и может закрывать соединение только по таймауту.
Таким образом, в случае подобной DDoS-атаки
медленными соединениями атакуемый сервер открывает
огромное количество соединений, катастрофически
расходуя свои ресурсы.
• Slow HTTP headers. Эта атака аналогична методу Slow HTTP
Post, только вместо пост-запроса используется медленная
отправка заголовка HTTP. Как и при атаке методом Slow
Post, сервер ждет окончания заголовков, прежде чем
закрыть соединение, что приводит к большому количеству
открытых соединений и как следствие — к перегрузке
сервера. Подобные DDoS-атаки сложно отличить от
обычных запросов с медленным соединением.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
151

152.

Виды DDoS атак
• Фальшивые Googlehots. Это сравнительно новая
технология совершения DDoS-атак. Ее особенностью
является использование ботов, маскирующихся под
Googlebots — роботов поисковой системы Google,
которые отслеживают появление и обновление webстраниц для индексации сайтов в поисковых системах.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
152

153.

Защита от DDoS-атак
• Защита от DDoS-атак работает с использованием
алгоритмов и передового программного обеспечения
для отслеживания входящего трафика на веб-сайт.
Любому незаконному трафику отказывается в доступе,
в то время как законный трафик продолжает
фильтроваться на сайт.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
153

154.

Защита от DDoS-атак
• Cloud Flare — фильтрует трафик прежде, чем он попадает на сайт, имеет
инструментарий для экстренной зашиты от DDoS-атак, имеет бесплатную
версию; https://www.cloudflare.com
• Kaspersky DDoS Prevention — использует методы статистического,
поведенческого
и
экспертного
анализа;
https://www.kaspersky.ru/enterprise-security/ddos-protection
• Arbor— позволяет конфигурировать систему защиты в зависимости от
потребностей, обеспечивая тем самым комплексный подход к защите от атак,
имеет дружественный интерфейс, что позволяет комфортно и продуктивно
работать администратору безопасности. https://www.netscout.com/arbor-ddos
• FortiDDoS - Расширенная защита от Fortinet для корпоративных центров
обработки данных. Включает контроль тысяч параметров, защиту от всех
DDoS-атак
с
учетом
приложений
и
управлением
трафиком.
https://www.fortinet.com/ru/products/ddos/fortiddos
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
154

155.

Защита от DDoS-атак
• Check Point DDoS Protector - Защита от DDoS-атак нулевого дня с
блокировкой широкого спектра атак. Наличие локальных и облачных
решений для смягчения последствий. Аппаратные механизмы SSL
(проверка
стандартов
SSL
/
TLS).
https://www.checkpoint.com/ru/products/ddos-protector/
• Cisco DDoS Protection Solution - Обнаруживает аномалий трафика и
отбрасывает аномальные пакеты. Обеспечивает доступность сети и
непрерывность бизнеса. Осуществляет возврат чистого трафика в сеть
клиента
и
работает
в
режиме
реального
времени.
https://www.cisco.com/c/en/us/products/security/secure-ddosprotection/index.html
• Imperva Incapsula - Использует многоуровневый подход к блокировке
DDoS-трафика. Фильтрует трафик через брандмауэр веб-приложений,
механизм правил DDoS и ряд прогрессивных проблем, которые
невидимы
для
легитимного
трафика.
https://www.imperva.com
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
155

156.

6. Программно-аппаратные средства
защиты компьютерных систем
156

157.

6. Программно-аппаратные средства
защиты компьютерных систем
6.1. Межсетевые экраны (Firewall)
157

158.

Межсетевой экран
• Межсетевой экран (МСЭ), сетевой экран (СЭ) —
программный или программно-аппаратный элемент
компьютерной сети, осуществляющий контроль и
фильтрацию проходящего через него сетевого трафика
в соответствии с заданными правилами.
• Другие названия:
• Брандмауэр (нем. Brandmauer — противопожарная
стена) — заимствованный из немецкого языка
термин;
• Файрвол (англ. Firewall — противопожарная стена)
— заимствованный из английского языка термин.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
158

159.

Межсетевой экран (Firewall)
Межсетевой экран на границе сетевого периметра.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
159

160.

Межсетевые экраны (Firewall)
• Межсетевое экранирование повышает безопасность
объектов внутренней сети за счет игнорирования
неавторизованных запросов из внешней среды, тем самым
обеспечивая все составляющие ИБ. Кроме функций
разграничения доступа, экранирование обеспечивает
регистрацию информационных обменов.
• Функции экранирования выполняет межсетевой экран,
или брандмауэр (firewall), под которым понимают
программную или программно-аппаратную систему,
которая выполняет контроль информационных потоков,
поступающих в ИС и/или выходящих из нее, и обеспечивает
защиту ИС посредством фильтрации информации.
Фильтрация информации состоит в анализе информации
по совокупности критериев и принятии решения о ее
приеме и/или передаче.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
160

161.

Межсетевые экраны (Firewall)
• Межсетевые экраны классифицируются по
следующим признакам:
• по месту расположения в сети — на внешние и
внутренние, обеспечивающие защиту
соответственно от внешней сети или защиту между
сегментами сети;
• по уровню фильтрации, соответствующему
эталонной модели OSI.
• Внешние межсетевые экраны обычно работают только с
протоколом TCP/IP глобальной сети Интернет.
• Внутренние сетевые экраны могут поддерживать несколько
протоколов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
161

162.

Межсетевые экраны (Firewall)
• Работа всех межсетевых экранов основана на
использовании информации разных уровней модели
OSI. Как правило, чем выше уровень модели OSI, на
котором межсетевой экран фильтрует пакеты, тем
выше обеспечиваемый им уровень защиты.
• Межсетевые экраны разделяют на четыре типа:
• межсетевые экраны с фильтрацией пакетов;
• шлюзы сеансового уровня;
• шлюзы прикладного уровня;
• межсетевые экраны экспертного уровня.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
162

163.

Типы межсетевых экранов и уровни модели OSI
№ Уровень модели OSI Протокол
1 Прикладной
Telnet, FTP,
DNS, NFS,
SMTP, HTTP
2 Представления
—
данных
3 Сеансовый
TCP, UDP
4 Транспортный
TCP, UDP
5 Сетевой
IP, ICMP
6 Канальный
7 Физический
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
ARP, RAP
Ethernet
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
Тип межсетевого экрана
Шлюз прикладного уровня.
Межсетевой экран
экспертного уровня.
—
Шлюз сеансового уровня
—
Межсетевой экран с
фильтрацией пакетов
—
—
163

164.

Типы межсетевых экранов и уровни модели OSI
Схематическое изображение классификации
межсетевых экранов на основе сетевой модели OSI
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
164

165.

Межсетевые экраны (Firewall)
• Межсетевые экраны с фильтрацией пакетов представляют
собой маршрутизаторы или работающие на сервере
программы, сконфигурированные таким образом, чтобы
фильтровать входящие и исходящие пакеты. Поэтому такие
экраны называют иногда пакетными фильтрами.
Фильтрация осуществляется путем анализа IP-адреса
источника и приемника, а также портов входящих TCP- и
UDP-пакетов и сравнением их со сконфигурированной
таблицей правил. Эти межсетевые экраны просты в
использовании, дешевы, оказывают минимальное влияние
на
производительность
вычислительной
системы.
Основным недостатком является их уязвимость при
подмене IP-адресов. Кроме того, они сложны при
конфигурировании: для их установки требуется знание
сетевых, транспортных и прикладных протоколов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
165

166.

Межсетевые экраны (Firewall)
• Шлюзы сеансового уровня контролируют допустимость
сеанса связи. Они следят за подтверждением связи между
авторизованным клиентом и внешним хостом (и наоборот),
определяя, является ли запрашиваемый сеанс связи
допустимым. При фильтрации пакетов шлюз сеансового
уровня основывается на информации, содержащейся в
заголовках пакетов сеансового уровня протокола TCP, т.е.
функционирует на два уровня выше, чем межсетевой экран
с фильтрацией пакетов. Кроме того, указанные системы
обычно имеют функцию трансляции сетевых адресов,
которая скрывает внутренние IP-адреса, тем самым
исключая подмену IP-адреса. Однако в таких межсетевых
экранах отсутствует контроль содержимого пакетов,
генерируемых различными службами. Для исключения
указанного недостатка применяются шлюзы прикладного
уровня.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
166

167.

Межсетевые экраны (Firewall)
• Шлюзы прикладного уровня проверяют содержимое
каждого проходящего через шлюз пакета и могут
фильтровать отдельные виды команд или информации в
протоколах прикладного уровня, которые им поручено
обслуживать. Это более совершенный и надежный тип
межсетевого
экрана,
использующий
программыпосредники (proxies) прикладного уровня или агенты.
Агенты составляются для конкретных служб сети Интернет
(HTTP, FTP, Telnet и т.д.) и служат для проверки сетевых
пакетов на наличие достоверных данных.
• Описываемые
шлюзы
снижают
уровень
производительности системы из-за повторной обработки в
программе-посреднике. Это незаметно при работе в
Интернет при работе по низкоскоростным каналам, но
существенно при работе во внутренней сети.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
167

168.

Межсетевые экраны (Firewall)
• Межсетевые экраны экспертного уровня сочетают в себе
элементы всех трех описанных ранее категорий. Как и
межсетевые экраны с фильтрацией пакетов, они работают на
сетевом уровне модели OSI, фильтруя входящие и исходящие
пакеты на основе проверки IP-адресов и номеров портов.
Рассматриваемые экраны также выполняют функции шлюза
сеансового уровня, определяя, относятся ли пакеты к
соответствующему
сеансу.
И,
наконец,
брандмауэры
экспертного уровня берут на себя функции шлюза прикладного
уровня, оценивая содержимое каждого пакета в соответствии с
политикой безопасности, выработанной в конкретной
организации.
• Вместо применения связанных с приложениями программпосредников брандмауэры экспертного уровня используют
специальные алгоритмы распознавания и обработки данных на
уровне приложений. С помощью этих алгоритмов пакеты
сравниваются с известными шаблонами данных, что
теоретически должно обеспечить более эффективную
фильтрацию пакетов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
168

169.

Типы межсетевых экранов
• Типы межсетевых экранов
• Межсетевой экран на прокси-сервере
• Межсетевой экран с контролем
состояния сеансов
• Межсетевой экран нового поколения
(NGFW) next-generation firewall
• NGFW с активной защитой от угроз
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
169

170.

Типы межсетевых экранов (Firewall)
• Межсетевой экран на прокси-сервере
• Межсетевой экран на прокси-сервере служит шлюзом
между сетями для конкретного приложения. Проксисерверы могут выполнять дополнительные функции,
например кеширование контента и его защиту путем
предотвращения прямых подключений из-за пределов
сети. Однако это может отрицательно сказаться на
пропускной способности и производительности
поддерживаемых приложений.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
170

171.

Типы межсетевых экранов (Firewall)
• Межсетевой экран с контролем состояния сеансов
• Сегодня Firewall с контролем состояния сеансов
считается «традиционным». Он пропускает или
блокирует трафик с учетом состояния, порта и
протокола. Он отслеживает все действия с момента
открытия соединения до его закрытия. Решения о
фильтрации принимаются на основании как правил,
определяемых администратором, так и контекста. Под
контекстом понимается информация, полученная из
предыдущих соединений и пакетов, принадлежащих
данному соединению.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
171

172.

Традиционные межсетевые экраны
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
172

173.

Типы межсетевых экранов (Firewall)
• Межсетевой экран нового поколения (NGFW)
• Современные межсетевые экраны не ограничиваются
фильтрацией пакетов и контролем за состоянием сеансов.
Большинство компаний внедряет межсетевые экраны нового
поколения, чтобы противостоять современным угрозам, таким
как сложное вредоносное ПО и атаки на уровне приложений.
• Согласно определению компании Gartner, межсетевой экран
нового поколения должен иметь:
• Возможности стандартных межсетевых экранов, такие как контроль
состояния.
• Встроенные средства предотвращения вторжений.
• Средства контроля работы приложений и возможность управления ими
для поиска и блокирования небезопасных приложений.
• Возможности обновления для включения будущих информационных
каналов.
• Средства защиты от постоянно возникающих новых угроз безопасности.
• Эти возможности постепенно становятся стандартными для большинства
компаний, но межсетевые экраны нового поколения способны на
большее.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
173

174.

Типы межсетевых экранов (Firewall)
• NGFW с активной защитой от угроз
• Эти межсетевые экраны сочетают в себе функции традиционного
NGFW с возможностями обнаружения и нейтрализации сложных
угроз.
• Межсетевые экраны нового поколения с активной защитой от угроз
позволяют:
• Определять наиболее подверженные риску ресурсы благодаря учету всего
контекста
• Быстро реагировать на атаки благодаря интеллектуальным средствам
автоматизации функций безопасности, которые устанавливают политики и
укрепляют защиту в динамическом режиме
• Более надежно выявлять отвлекающую или подозрительную
деятельность, применяя корреляцию событий в сети и на оконечных
устройствах
• Значительно сократить время с момента обнаружения до нейтрализации
благодаря
использованию
ретроспективных средств
обеспечения
безопасности, которые осуществляют непрерывный мониторинг для
выявления подозрительной деятельности и поведения даже после
первоначальной проверки
• Упростить администрирование и снизить уровень сложности с помощью
унифицированных политик, обеспечивающих защиту на протяжении всего
жизненного цикла атаки
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
174

175.

Традиционный Firewall VS NGFW
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
175

176.

NGFW
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
176

177.

NGFW
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
177

178.

Аппаратные межсетевые экраны Cisco
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
178

179.

Аппаратные межсетевые экраны Cisco
https://www.cisco.com/c/ru_ru/products/security/asa-firepower-services/index.html
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
179

180.

Межсетевой экран следующего поколения
(Next-Generation Firewall, NGFW)
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
180

181.

Межсетевой экран следующего поколения
(Next-Generation Firewall, NGFW)
https://www.checkpoint.com/quantum/next-generation-firewall/#
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
181

182.

Межсетевой экран следующего поколения
(Next-Generation Firewall, NGFW)
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
182

183.

Gartner. Магический квадрат по межсетевым экранам
"Completeness of Vision" ("Полнота
Видения" - очень плохой перевод, но
лучше не получается). Это когда аналитики
Gartner оценивают вендоров по их
возможностям убедительно
формулировать утверждения о текущих и
будущих потребностях рынка, инновациях
и возможных конкурентных силах. Обычно
это ось "X".
"Ability to Execute" ("Возможность
Исполнения) ‒ оценка по качеству и
эффективности процессов, систем, методов
и процедур, которые в итоге обеспечивают
вендору конкурентоспособность и
положительно влияют на доходы. Ось "Y".
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
183

184.

Gartner. Магический квадрат по межсетевым экранам
• Полнота видения (Completeness of Vision):
• Понимание рынка (Market Understanding) ‒ способность вендора понимать потребности
клиентов и транслировать это в продукте.
• Маркетинговая стратегия (Marketing Strategy) ‒ чёткие и понятные формулировки маркетинговых
посланий.
• Стратегия продаж (Sales Strategy) ‒ стратегия продаж продуктов, обеспечиваемая налаженной
сетью прямых и косвенных продаж.
• Предлагаемая стратегия для продукта (Offering (Product) Strategy) ‒ подход вендора к
разработке продукта, обеспечивающий потребности рынка.
• Бизнес-модель (Business Model) ‒ обоснованность и логичность бизнес-предложения вендора.
• Стратегия для отдельных сегментов рынка (Vertical/Industry Strategy) ‒ стратегия вендора по
удовлетворению потребностей отдельных сегментов рынка. Включая вообще способность внятно
сегментировать эти рынки.
• Инновации (Innovation) ‒ Одно из самых трудных для понимания российскими читателями место
(слово "инновации" безнадежно испорчено). Но тут всё проще, ибо пункт специализирован: что
конкретно делает вендор для удовлетворения будущих требований инфраструктуры на уровне
доступа. В том числе с точки зрения более тесной интеграции с проводными сетевыми
продуктами, а также поддержки сетевых сервисов "голос, видео и приложений" (далее - ГВП, или
на английском - VVA - Voice/Video/Apps)? Существует ли что-то новое в этих предложениях? Что
делается для удовлетворения потребностей клиентов по упрощению установки и/или
развёртывания инфраструктуры и последующей эксплуатации/управления? И если вендор смог
успешно это всё объяснить с горизонтом планирования от двух до пяти лет, то оценка в критерии
"инновационность" повышается.
• Географическая стратегия (Geographic Strategy) ‒ стратегия вендора по захвату мирового
господства по удовлетворению потребностей в географических регионах за пределами
"домашнего региона/страны".
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
184

185.

Gartner. Магический квадрат по межсетевым экранам
• "Возможность исполнить" (Ability to Execute) - и этот раздел отличается от стандартного отчёта,
поскольку проводится довольно глубокий анализ, привязанный к отрасли, которая, напомню, про
"сетевое оборудование":
Продукт/Услуга (Product/Service) ‒ здесь Gartner оценивает поставщиков с точки зрения полноты своих
продуктов для строительства инфраструктуры доступа, которая в идеале должна состоять из всей линейки
устройств: коммутаторы, маршрутизаторы, точки доступа и связанных с ними компонентов – внешние антенны,
наружные/внутренние шкафы, кейсы и т.п. Всё это необходимо для оценки способности вендора комплексно
решать задачи клиентов на различных вертикальных рынках. В данном отчете Gartner решил уделить особое
внимание различным сетевым приложениям, таким как управление, мониторинг, гостевой доступ, управление
политиками доступа, сервисы определения местоположения, сетевая аналитика и приложения безопасности.
Отчёт довольно серьезно относится к действующим вендорским стратегиям по сегментации предлагаемых
продуктов и стратегии архитектурной миграции из унаследованных систем. Причём, как внутри линеек
вендорских решений, так и миграция с/на других поставщиков. Кроме того, рассматривается возможности
обслуживания и развёртывания в глобальном пространстве реализации проектов с участием сторонних
производителей и/или компаний интеграторов и OEM-поставщиков.
Жизнеспособность (Overall Viability) ‒ оценка финансового состояния вендора в целом. А ещё – возможность
инвестиций в развитие и текущую разработку продуктов.
Продажи/Ценообразование (Sales Execution/Pricing) ‒ эффективность каналов продаж, ценообразование и
возможности договорных процессов.
Отзывчивость к требованиям рынка/История реакций на предыдущие требования (Market Responsiveness and
Track Record) ‒ способность реагировать на требования рынка для достижения конкурентного успеха и
обеспечения потребностей клиентов. Параметр включает в себя историю реагирования на предыдущие
требования.
Маркетинг (Marketing Execution) ‒ эффективность маркетинговых каналов, позитивная идентификация
продуктов. В данном случае оценка была сфокусирована на том, насколько хорошо поставщик инфраструктуры
уровня доступа мог влиять на рынок "рядом". Например, на поставщиков чипсетов или платформ. Учитывалось
участие в консорциумах и влиянии вендора на разработку отраслевых стандартов.
Клиентский опыт (Customer Experience) ‒ истории успеха клиентов, использующих продукт. Включая опыт по
предпродажной подготовке проектов и организацию технической поддержки.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
185

186.

Gartner. Магический квадрат по межсетевым экранам
• И все квадранты можно совершенно четко позиционировать по группам:
• ЛИДЕРЫ (Leaders) ‒ это когда вендор имеет широчайшую "полноту видения" при
неоспоримой "возможности исполнить". То есть, вендор в целом соответствует
функциональным требованиям рынка, имеет лояльную клиентскую базу, показывает
стабильный рост выручки и/или доли рынка. У вендора имеется приличный портфель
продуктов без существенных проблем с интеграцией и поддержкой. Лидеры
обеспечивают своевременную реализацию потребностей рынка и имеют
инновационный подход. В общем: "есть желания и они совпадают с возможностями".
• ПРЕТЕНДЕНТЫ (Challengers) ‒ компании, по праву занимающие существенную долю
рынка и способные делать крупные инсталляции. У них очень высокая "возможность
исполнить", но низкая "полнота видения". Такие компании, как правило,
концентрируют усилия на модернизации модельного ряда и внутренней интеграции
архитектур и наборов функций для серьёзной конкуренции с лидерами рынка, но не
производят чего-то действительно нового и свежего. Это когда: "возможности
широки, но нет желания".
• ВИЗИОНЕРЫ (Visionaries) ‒ те самые "живопырки", которые не дают спокойно спать
"жирным котам". Компании-визионеры имеют существенную продуктовую линейку,
но портфель решений находится в стадии разработки. Имеют меньшее соответствие
требованиям раздела "возможность исполнить" (в отличие от Лидеров), что связано с
новизной решений, которая влечет дополнительные риски и снижает финансовую
прочность. "Желания огромны, но нет возможности".
• Нишевые игроки (Niche Players) ‒ производители, которые не демонстрируют
выдающихся результатов. Разумеется, это самая многочисленная группа, но при этом
не нужно думать, что это что-то плохое. Само попадание в отчет Gartner - уже честь
для производителя. А то, что коротко это положение называется "нет ни желания, ни
возможностей", то это только потому, что требования у Gartner очень высокие. Очень.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
186

187.

Gartner. Магический квадрат по межсетевым экранам
"Completeness of Vision" ("Полнота
Видения" - очень плохой перевод, но
лучше не получается). Это когда аналитики
Gartner оценивают вендоров по их
возможностям убедительно
формулировать утверждения о текущих и
будущих потребностях рынка, инновациях
и возможных конкурентных силах. Обычно
это ось "X".
"Ability to Execute" ("Возможность
Исполнения) ‒ оценка по качеству и
эффективности процессов, систем, методов
и процедур, которые в итоге обеспечивают
вендору конкурентоспособность и
положительно влияют на доходы. Ось "Y".
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
187

188.

Check Point Software Technologies
• Check Point Software Technologies - израильский вендор. По
итогам 2020 года он является одним из лидеров Magic
Quadrant.
• Преимущества:
• Централизованное управление. Разработчики стремятся создать
единую платформу для управления всеми своими продуктами.
Smart Console постоянно улучшается и получает все больше опций.
Также уже сейчас доступны порталы управления (например
Smart1-Cloud).
• Удобная работа с политиками безопасности.
• Развитие современных направлений по защите ресурсов в облаке.
(CloudGuardDome9, CloudGuard Workload и прочие сервисы для
управления).
• Глубокая инспекция трафика. В части Threat Prevention (блейды
безопасности Check Point) постоянно улучшается режим
распознавания и расследования инцидентов. Для активной работы
пользователей с документами предлагаются проприетарные
блейды Threat Emulation (песочница), Threat Extraction
(извлечение активных элементов из документов).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
188

189.

Fortinet
• Fortinet
Американская
компания,
которая
специализируется на разработке и продвижении
программного обеспечения, решений и сервисов в области
информационной безопасности: межсетевых экранов,
антивирусных
программ,
систем
предотвращения
вторжений и обеспечения безопасности конечных точек и
других продуктов. По итогам 2020 года является одним из
лидеров Magic Quadrant в части NGFW.
• Преимущества:
• Вендор является одним из лидеров в части полной поддержки SDWAN технологии для файрволлов. Fortinet Fabric Management
Center (FMC) предлагает полную автоматизацию и оркестрацию
для своих продуктов.
• Централизованное управление. Такие решение как: FortiSwitch,
FortiAP, FortiWifi, FortiWLM, FortiExtender и FortiAnalyzer могут
управляться из одного портала управления.
• Гибкое ценообразование. Эксперты Gartner отмечают хорошую
зависимость между ценой и производительностью.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
189

190.

Palo Alto Networks
• Palo Alto Networks - Лидер 2020 года, среди решений
по защите периметра сети по мнению Gartner. Вендор
приобрел ведущего поставщика в области облачных
решений - CloudGenix, что позволит ему и далее
развивать свой продукт Palo Alto Networks Prisma
Access (SASE) и применять технологию SD-WAN.
• Преимущества:
• Palo Alto Networks были одними из первых, кто предложили
Firewall-as-a-Service (FWaaS).
• Для инспекции трафика встроена поддержка TLS 1.3 ( раньше
чем у конкурентов).
• Вендор активно развивает облачное направление и
наращивает количество своих продуктов у заказчиков.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
190

191.

6. Программно-аппаратные средства
защиты компьютерных систем
6.2. Технология виртуальных частных сетей
191

192.

Технология виртуальных частных сетей (VPN)
• Технология виртуальных частных сетей (VPN — Virtual
Private Network) является одним из эффективных
механизмов обеспечения ИБ при передаче данных в
распределенных вычислительных сетях.
• Виртуальные частные сети являются комбинацией
нескольких самостоятельных сервисов (механизмов)
безопасности:
• шифрования
(с
использование
инфраструктуры
криптосистем) на выделенных шлюзах (шлюз обеспечивает
обмен данными между вычислительными сетями,
функционирующими по разным протоколам);
• экранирования (с использованием межсетевых экранов);
• туннелирования.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
192

193.

Технология виртуальных частных сетей (VPN)
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
193

194.

Принцип работы VPN
• На все компьютеры, имеющие выход в Интернет, устанавливаются VPN-агенты,
которые обрабатывают IP-пакеты, передаваемые по вычислительным сетям.
• Перед отправкой IP-пакета VPN-агентом выполняются следующие операции:
1) анализируется IР-адрес получателя пакета, в зависимости от этого адреса
выбирается алгоритм защиты данного пакета (VPN-агенты могут поддерживать
одновременно несколько алгоритмов шифрования и контроля целостности), кроме
того, пакет может и вовсе быть отброшен, если в настройках VPN-агента такой
получатель не значится;
2) вычисляется и добавляется в пакет его имитоприставка, обеспечивающая
контроль целостности передаваемых данных;
3) пакет шифруется (целиком, включая заголовок IP-пакета, содержащий
служебную информацию);
4) формируется новый заголовок пакета, где вместо адреса получателя
указывается адрес его VPN-агента (эта процедура называется инкапсуляцией
пакета).
В результате этого обмен данными между двумя локальными сетями снаружи
представляется как обмен между двумя компьютерами, на которых установлены VPNагенты. Всякая полезная для внешней атаки информация, например внутренние IPадреса сети, в этом случае недоступна.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
194

195.

Принцип работы VPN
• При получении IP-пакета выполняются обратные действия:
1) из заголовка пакета извлекается информация о VPN-агенте отправителя
пакета, если такой отправитель не входит в число разрешенных, то пакет
отбрасывается (то же самое происходит при приеме пакета с намеренно
или случайно поврежденным заголовком);
2) согласно настройкам выбираются криптографические алгоритмы и
ключи, после чего пакет расшифровывается и проверяется его целостность
(пакеты с нарушенной целостностью также отбрасываются);
3) после всех обратных преобразований пакет в его исходном виде
отправляется настоящему адресату по локальной сети.
Все перечисленные операции выполняются автоматически, работа VPNагентов является незаметной для пользователей. Сложной является только
настройка VPN-агентов, которая может быть выполнена только очень опытным
пользователем. VPN-агент может находиться непосредственно на защищаемом
компьютере (что особенно полезно для мобильных пользователей). В этом
случае он защищает обмен данными только одного компьютера, на котором он
установлен.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
195

196.

Технология виртуальных частных сетей (VPN)
• Для передачи данных VPN-агенты создают виртуальные каналы
между защищаемыми локальными сетями или компьютерами. Такой
канал называется туннелем, а технология его создания называется
туннелированием. Вся информация передается по туннелю в
зашифрованном виде.
Пример расположения межсетевых экранов
• Одной из обязательных функций VPN-агентов является фильтрация
пакетов. Она реализуется в соответствии с настройками VPN-агента,
совокупность которых образует политику безопасности виртуальной
частной сети. Для повышения защищенности виртуальных частных
сетей на концах туннелей целесообразно располагать межсетевые
экраны.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
196

197.

Протоколы VPN
• Point-to-Point Tunneling Protocol (PPTP) — один из
старейших VPN протоколов, используемых до сих пор,
изначально был разработан компанией Microsoft.
• Secure Socket Tunneling Protocol (SSTP) — проприетарный
продукт от Microsoft. Как и PPTP, SSTP не очень широко
используется в индустрии VPN, но, в отличие от PPTP, у него
не
диагностированы
серьезные
проблемы
с
безопасностью.
• Internet Protocol Security (IPsec) — это набор протоколов
для обеспечения защиты данных, передаваемых по IP-сети.
В отличие от SSL, который работает на прикладном уровне,
IPsec работает на сетевом уровне и может использоваться
нативно со многими операционными системами, что
позволяет использовать его без сторонних приложений (в
отличие от OpenVPN). IPsec стал очень популярным
протоколом для использования в паре с L2TP или IKEv2.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
197

198.

Протоколы VPN
• Layer 2 Tunneling Protocol (L2TP) был впервые предложен в
1999 году в качестве обновления протоколов L2F (Cisco) и
PPTP (Microsoft). Поскольку L2TP сам по себе не
обеспечивает шифрование или аутентификацию, часто с
ним используется IPsec. L2TP в паре с IPsec поддерживается
многими операционными системами, стандартизирован в
RFC 3193.
• Internet Key Exchange version 2 (IKEv2) является
протоколом IPsec, используемым для выполнения
взаимной аутентификации, создания и обслуживания
Security Associations (SA), стандартизован в RFC 7296. Так же
защищен IPsec, как и L2TP, что может говорить об их
одинаковом уровне безопасности. Хотя IKEv2 был
разработан Microsoft совместно с Cisco, существуют
реализации протокола с открытым исходным кодом
(например, OpenIKEv2, Openswan и strongSwan).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
198

199.

Протоколы VPN
• OpenVPN — это универсальный протокол VPN с
открытым исходным кодом, разработанный компанией
OpenVPN Technologies. На сегодняшний день это,
пожалуй, самый популярный протокол VPN. Будучи
открытым стандартом, он прошел не одну
независимую экспертизу безопасности.
• WireGuard. Самый новый и неизведанный протокол
VPN — WireGuard. Позиционируется разработчиками
как замена IPsec и OpenVPN для большинства случаев
их использования, будучи при этом более безопасным,
более производительным и простым в использовании.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
199

200.

Сравнение протоколов VPN
PPTP
SSTP
L2TP/IPsec
IKEv2/IPsec
OpenVPN
WireGuard
Компанияразработчик
Microsoft
Microsoft
L2TP — совместная
разработка Cisco и
Microsoft, IPsec —
The Internet
Engineering Task
Force
IKEv2 — совместная OpenVPN
разработка Cisco и Technologies
Microsoft, IPsec —
The Internet
Engineering Task
Force
Jason A. Donenfeld
Лицензия
Proprietary
Proprietary
Proprietary
Proprietary, но
существуют
реализации
протокола с
открытым
исходным кодом
GNU GPL
GNU GPL
Развертывание
Windows, macOS,
iOS, некоторое
время GNU/Linux.
Работает “из
коробки”, не
требуя установки
дополнительного
ПО
Windows. Работает
“из коробки”, не
требуя установки
дополнительного
ПО
Windows,Mac OS X,
Linux, iOS, Android.
Многие ОС
(включая Windows
2000/XP +, Mac OS
10.3+) имеют
встроенную
поддержку, нет
необходимости
ставить
дополнительное
ПО
Windows 7+, macOS
10.11+ и
большинство
мобильных ОС
имеют встроенную
поддержку
Windows, Mac OS,
GNU/Linux, Apple
iOS, Android и
маршрутизаторы.
Необходима
установка
специализированн
ого ПО,
поддерживающего
работу с данным
протоколом
Windows, Mac OS,
GNU/Linux, Apple
iOS, Android.
Установить сам
WireGuard, а затем
настроить по
руководству
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
200

201.

Сравнение протоколов VPN
PPTP
SSTP
L2TP/IPsec
IKEv2/IPsec
OpenVPN
WireGuard
Использует
библиотеку
OpenSSL (реализует
большинство
популярных
криптографических
стандартов)
Обмен ключами по
1-RTT, Curve25519
для ECDH, RFC7539
для ChaCha20 и
Poly1305 для
аутентификационн
ого шифрования, и
BLAKE2s для
хеширования
Шифрование
Использует
Microsoft Point-toPoint Encryption
(MPPE), который
реализует RSA RC4
с максимум 128битными
сеансовыми
ключами
SSL (шифруются все 3DES или AES
части, кроме TCP- и
SSL-заголовков)
Реализует большое
количество
криптографических
алгоритмов,
включая AES,
Blowfish, Camellia
Порты
TCP-порт 1723
TCP-порт 443
UDP-порт 500 для
первонач. обмена
ключами и UDPпорт 1701 для
начальной
конфигурации L2TP,
UDP-порт 5500 для
обхода NAT
UDP-порт 500 для
Любой UDP- или
первоначального
TCP-порт
обмена ключами, а
UDP-порт 4500 —
для обхода NAT
Любой UDP-порт
Недостатки
безопасности
Обладает
серьезными
уязвимостями.
MSCHAP-v2 уязвим
для атаки по
словарю, а
алгоритм RC4
подвергается атаке
Bit-flipping
Серьезных
недостатков
безопасности не
было выявлено
3DES уязвим для
Meet-in-the-middle
и Sweet32, но AES
не имеет известных
уязвимостей.
Однако есть
мнение, что
стандарт IPsec
скомпрометирован
АНБ США
Не удалось найти
информации об
имеющихся
недостатках
безопасности,
кроме инцидента с
утечкой докладов
АНБ касательно
IPsec
Серьезных
недостатков
безопасности не
было выявлено
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
Серьезных
недостатков
безопасности не
было выявлено
201

202.

6. Программно-аппаратные средства
защиты компьютерных систем
6.3. Протоколы безопасности
202

203.

Протоколы безопасности
• Сетевые протоколы безопасности используются для защиты
компьютерных данных и связи при их передаче по сети.
• Основным инструментом, используемым для защиты
информации
при
пересылке
через
сеть
является
криптография. Криптография использует алгоритмы для
шифрования данных, так чтобы они не были прочитаны не
авторизованными пользователями.
• Без криптографических протоколов сетевой безопасности,
Интернет-функции, такие как электронная коммерция будет
невозможной.
• Безопасное общение необходимо, потому что злоумышленники
пытаются подслушать коммуникации, чтобы изменить
сообщения и захватить обмен данными между системами.
Некоторые
задачи
сетевого
протокола
безопасности
используются для защиты передачи файлов, веб-общения, и
виртуальных частных сетей (VPN).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
203

204.

Протоколы SSL и TLS
• SSL (англ. Secure Sockets Layer — уровень защищённых сокетов) —
криптографический протокол, который подразумевает более
безопасную связь. Он использует асимметричную криптографию для
аутентификации ключей обмена, симметричное шифрование для
сохранения конфиденциальности, коды аутентификации сообщений
для целостности сообщений. Протокол широко использовался для
обмена мгновенными сообщениями и передачи голоса через IP (англ.
Voice over IP — VoIP) в таких приложениях, как электронная почта,
интернет-факс и др.
• TLS (англ. transport layer security — Протокол защиты транспортного
уровня), как и его предшественник SSL (англ. secure sockets layer —
слой защищённых сокетов), — криптографические протоколы,
обеспечивающие защищённую передачу данных между узлами в сети
Интернет. TLS и SSL используют асимметричное шифрование для
аутентификации,
симметричное
шифрование
для
конфиденциальности и коды аутентичности сообщений для
сохранения целостности сообщений. Данный протокол широко
используется в приложениях, работающих с сетью Интернет, таких как
веб-браузеры, работа с электронной почтой, обмен мгновенными
сообщениями и IP-телефония (VoIP).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
204

205.

HTTPS
• HTTPS (аббр. от англ. HyperText Transfer Protocol Secure) —
расширение протокола HTTP для поддержки шифрования в
целях повышения безопасности. Данные в протоколе
HTTPS передаются поверх криптографических протоколов
TLS или устаревшего в 2015 году SSL. В отличие от HTTP с
TCP-портом 80, для HTTPS по умолчанию используется TCPпорт 443.
• HTTPS не является отдельным протоколом. Это обычный
HTTP, работающий через шифрованные транспортные
механизмы SSL и TLS. Он обеспечивает защиту от атак,
основанных на прослушивании сетевого соединения — от
снифферских атак и атак типа man-in-the-middle, при
условии, что будут использоваться шифрующие средства и
сертификат сервера проверен и ему доверяют.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
205

206.

6. Программно-аппаратные средства
защиты компьютерных систем
6.4. Proxy
206

207.

Прокси-сервер (Proxy)
• Прокси-сервер (proxy — представитель, уполномоченный; часто
просто прокси, сервер-посредник) — промежуточный сервер
(комплекс программ) в компьютерных сетях, выполняющий
роль посредника между пользователем и целевым сервером
(при этом о посредничестве могут как знать, так и не знать обе
стороны), позволяющий клиентам как выполнять косвенные
запросы (принимая и передавая их через прокси-сервер) к
другим сетевым службам, так и получать ответы.
• Сначала клиент подключается к прокси-серверу и запрашивает какой-либо
ресурс (например e-mail), расположенный на другом сервере. Затем проксисервер либо подключается к указанному серверу и получает ресурс у него,
либо возвращает ресурс из собственного кэша (в случаях, если прокси имеет
свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть
изменён прокси-сервером в определённых целях. Прокси-сервер позволяет
защищать компьютер клиента от некоторых сетевых атак и помогает
сохранять анонимность клиента, но также может использоваться
мошенниками для скрытия адреса сайта, уличённого в мошенничестве,
изменения содержимого целевого сайта (подмена), а также перехвата
запросов самого пользователя.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
207

208.

Использование Proxy
• Чаще всего прокси-серверы применяются для следующих целей:
• обеспечение доступа компьютеров локальной сети к сети Интернет;
• кэширование данных: если часто происходят обращения к одним и тем же внешним
ресурсам для снижения нагрузки на канал во внешнюю сеть и ускорения получения
клиентом запрошенной информации;
• сжатие данных: прокси-сервер загружает информацию из Интернета и передаёт
информацию конечному пользователю в сжатом виде для экономии внешнего
сетевого трафика клиента или внутреннего — организации, в которой установлен
прокси-сервер;
• защита локальной сети от внешнего доступа: например, можно настроить проксисервер так, что локальные компьютеры будут обращаться к внешним ресурсам только
через него, а внешние компьютеры не смогут обращаться к локальным вообще (они
«видят» только прокси-сервер);
• ограничение доступа из локальной сети к внешней: например, можно запрещать
доступ к определённым веб-сайтам, ограничивать использование интернета каким-то
локальным пользователям, устанавливать квоты на трафик или полосу пропускания,
фильтровать рекламу и вирусы;
• анонимизация доступа к различным ресурсам: прокси-сервер может скрывать
сведения об источнике запроса или пользователе. В таком случае целевой сервер
видит лишь информацию о прокси-сервере, например IP-адрес, но не имеет
возможности определить истинный источник запроса; существуют также искажающие
прокси-серверы, которые передают целевому серверу ложную информацию об
истинном пользователе;
• обход ограничений доступа: используется, например, пользователями стран, где
доступ к некоторым ресурсам ограничен законодательно и фильтруется.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
208

209.

Виды Proxy
• Прокси бывают нескольких видов:
• CGI - или по-другому web прокси. Это веб страница, на которой вам предлагается
ввести адрес сайта и он откроется в этой же странице с другим IP. Браузерный вариант.
• HTTP - Простой прокси для HTTP запросов. Бесполезное решение в нашем случае.
• Ко всему прочему HTTP делятся еще на три условные группы:
• Прозрачные прокси - Сообщат всем веб ресурсам ваш реальный IP. Пример - заголовок xforwarded-for. Бесполезно.
• Анонимные прокси - Скроют ваш IP, но сообщат о том, что используется прокси. Бесполезно.
• Элитные прокси - Скроют ваш IP, не сообщат о том, что используется прокси, ну и на этом все.
Бесполезно.
• HTTPS - Тот же бесполезный для нас прокси HTTP но уже +S - а это значит, что он
поддерживает шифрование, то есть у нас будут проксифицироватся вебстранички https
- формы авторизации, ввод и передача чувствительной информации и т.д. Но этот
прокси все равно издалека виден Антифрод системам, плюс ко всему еще и может
модифицировать наши пакеты.
• Socks 4 - Первый пригодный для работы протокол Прокси. Пытается скрыть
проксификацию, не модифицирует пакеты и в целом неплох, но имеет свои минусы.
• Socks 5 - Практически идеальный вариант, то же что и Socks 4, но добавилась так нам
нужная поддержка UDP протокола, и соответственно возможность подмены DNS и IPv6.
• ShadowSocks - Китайское опенсорс изобретение, которое по функционалу лидирует
среди всех конкурентов. Идеал.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
209

210.

Сравнительная таблица современных Proxy протоколов
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
210

211.

Сравнительная таблица современных Proxy протоколов
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
211

212.

Shadowsocks
https://shadowsocks.org/en/index.html
https://github.com/shadowsocks/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
212

213.

6. Программно-аппаратные средства
защиты компьютерных систем
6.5. SSH туннели
213

214.

SSH туннели
• Вторая по популярности после Proxy технология.
• Удаленный сервер, который по нашему принуждению стал
сервером посредником.
• Работает это так - при соединении SSH-клиента и SSHсервера со стороны SSH-клиента поднимается SOCKSпрокси, например, на localhost’е, на который можно
указывать приложениям с поддержкой SOCKS. Само
проксирование будет через SSH-сервер, с которым вы
соединяетесь.
• В сумме - Интернет вас будет видеть от имени SSH-сервера,
соединение между SSH-клиентом и SSH-сервером
зашифровано, так что не видно вложенных данных
приложения, а для приложения все выглядит как
обращение к обычному SOCKS-прокси.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
214

215.

6. Программно-аппаратные средства
защиты компьютерных систем
6.6. Tor
215

216.

Tor
• Tor –
это
система
прокси-серверов,
позволяющая
устанавливать анонимное сетевое соединение, защищённое от
прослушивания. Рассматривается как анонимная сеть
виртуальных туннелей, предоставляющая передачу данных в
зашифрованном виде.
• С помощью Tor пользователи могут сохранять анонимность в
Интернете при посещении сайтов, ведении блогов, отправке
мгновенных и почтовых сообщений, а также при работе с
другими приложениями, использующими протокол TCP.
Анонимизация трафика обеспечивается за счёт использования
распределённой сети серверов — узлов. Технология Tor также
обеспечивает защиту от механизмов анализа трафика, которые
ставят под угрозу не только приватность в Интернете, но также
конфиденциальность коммерческих тайн, деловых контактов и
тайну связи в целом.
• Tor оперирует сетевыми уровнями onion-маршрутизаторов,
позволяя обеспечивать анонимные исходящие соединения и
анонимные скрытые службы.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
216

217.

Tor
• В ТОРе в нашем случае есть основные проблемы:
• 1. ТОР Браузер не изменяет отпечатки нашей
цифровой личности.
• 2. ТОР Браузер имеет свои уникальные особенности,
которые нас выдадут.
• 3. Все знают что сеть ТОР официально выступает за
интернет без цензуры, ну а по факту там в основном
наркотики и детское порно. Ни одна уважающая себя
система защиты не позволит ничего сделать с IP адреса
входящего в сеть выходных узлов сети ТОР. Просто
забываем про использование ТОРа в работе.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
217

218.

Сравнение технологий
• И по результатам, среди всех популярных технологий,
по смене IP адреса можно выделить 4 технологии
пригодные для работы:
1. Socks 5
2. ShadowSocks
3. SSH туннели
4. VPN
• Ну признаются непригодными для работы:
1. CGI Proxy
2. HTTP Proxy
3. HTTPS Proxy
4. Socks 4 Proxy
5. TOR
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
218

219.

6. Программно-аппаратные средства
защиты компьютерных систем
6.7. VPN \ Proxy \ Tor \ Протоколы
219

220.

Сравнение технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
220

221.

Сравнение технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
221

222.

Сравнение технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
222

223.

Выбор технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
223

224.

Выбор технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
224

225.

Выбор технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
225

226.

Выбор технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
226

227.

Выбор технологий
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
227

228.

6. Программно-аппаратные средства
защиты компьютерных систем
6.8. Антивирусная защита
228

229.

Антивирусная защита
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
229

230.

Антивирусное программное обеспечение
• Антивирусное
программное
обеспечение
представляет собой компьютерную программу,
которая защищает компьютер от входящих угроз, ищет,
уничтожает и предупреждает о возможных угрозах для
системы.
• Антивирус защищает от:
• 1 Потери всех данных компании ввиду заражения
шифровальщиком или другим вредоносным кодом.
• 2 Хищения конфиденциальных данных, либо вывода
финансовых средств.
• 3 Потери контроля над конкретным хостом и сетью в
целом.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
230

231.

6. Программно-аппаратные средства
защиты компьютерных систем
6.9. Мониторинг ИТ-инфраструктуры
231

232.

Зачем использовать мониторинг
• Успех и развитие современных компаний во многом
зависит от стабильности и защищенности ИТинфраструктуры. Чем чаще в компании происходят сбои,
простои после атак, тем больше вероятности, что это
приведет к проблемам в бизнес-процессах.
• Компании
почему-то
недооценивают
важность
мониторинга как части информационной безопасности.
• Если в компании были лишь небольшие проблемы с ИТинфраструктурой, компания всё также может столкнуться с
нехваткой
прибыли,
нестабильностью
и
низкой
эффективностью.
• Во избежание подобных результатов внедряются решения
по мониторингу ИТ-инфраструктуры. Они помогают с
отслеживанием того, что происходит в корпоративной сети.
В результате значительно повышается реакция на
возможные сбои и атаки.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
232

233.

Какие бывают виды мониторинга?
• На рынке появляется всё больше различных систем мониторинга
корпоративной сети, но даже такое разнообразие имеет свои
узкие специальности.
• Их выделяют в определённые группы:
• Бесплатные системы с открытым исходным кодом, вроде Zabbix. Хоть
подобные системы и бесплатные, но качество их работ ничуть не хуже.
Также подобная группа отличается возможностью гибко настраивать все
инструменты под корпоративные задачи. Ведь с помощью открытого
кода сетевые администраторы могут адаптировать решение для
стандартного мониторинга без посторонней помощи.
• Коммерческие системы с закрепленным функционалом. Их
особенность состоит в том, что такие системы с легкостью
разворачиваются и решают характерные задачи мониторинга.
Единственный недостаток состоит в том, что коммерческие системы
менее гибки и не так легко адаптируются под нестандартные сценарии.
• Коммерческие системы платформенного типа подразумевают под
собой комплекс решений, которые нацелены на мониторинг, управление
процессов и решение нестандартных задач. Хоть подобные системы и
дороже в сравнении с другими группами, компании не придется
внедрять их в общую консоль управления и далее подстраивать под
другие решения.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
233

234.

Zabbix
• Zabbix – это бесплатная система с открытым доступом
и обширным функционалом. Система известна тем, что
она быстро настраивается, помогает с визуализацией
данных о сбоях и других проблемах.
• Почему стоит обратить внимание на эту систему?
• Автоматическое обнаружение угроз;
• Обширный веб-интерфейс для настройки и
администрирования;
• Комплексная реакция на различные события в сети;
• Возможность внедрения расширений.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
234

235.

Zabbix
• Функции
• Автоматическое обнаружение серверов и сетевых устройств.
• Низкоуровневое обнаружение.
• Децинтрализованный мониторинг с централизованным вебадминистрированием.
• Централизованный мониторинг лог-файлов.
• Серверное программное обеспечение для GNU/Linux, Solaris, HPUX, AIX, Free BSD, Open BSD, OS X.
• Родные высокопроизводительные агенты (клиентское
программное обеспечение для GNU/Linux, Solaris, HP-UX, AIX, Free
BSD, Open BSD, OS X, Tru64/OSF1, Windows NT4.0, Windows 2000,
Windows 2003, Windows XP, Windows Vista).
• Безагентный мониторинг.
• Безопасная авторизация пользователей.
• Веб-интерфейс.
• Уведомления о предопределенных событиях.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
235

236.

Zabbix
• Возможности​
• Распределенный мониторинг вплоть до 1000 узлов. Конфигурация младших узлов
полностью контролируется старшими узлами, находящихся на более высоком уровне
иерархии.
• Сценарии на основе мониторинга
• Автоматическое обнаружение
• Централизованный мониторинг лог-файлов
• Веб-интерфейс для администрирования и настройки
• Отчетность и тенденции
• SLA мониторинг
• Поддержка высокопроизводительных агентов (zabbix-agent) практически для всех
платформ
• Комплексная реакция на события
• Поддержка SNMP v1, 2, 3
• Поддержка SNMP ловушек
• Поддержка IPMI
• Поддержка мониторинга JMX приложений из коробки
• Поддержка выполнения запросов в различные базы данных без необходимости
использования скриптовой обвязки
• Расширение за счет выполнения внешних скриптов
• Гибкая система шаблонов и групп
• Возможность создавать карты сетей
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
236

237.

Zabbix
• Официальный сайт Zabbix
• https://www.zabbix.com/ru/
• Скачать и установить Zabbix
• https://www.zabbix.com/ru/download
• Готовые решения Zabbix
• https://www.zabbix.com/ru/download_appliance
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
237

238.

Zabbix
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
238

239.

Dell Foglight
• Dell Foglight – решение по мониторингу, которое
можно внедрять в различные технологические среды.
Это решение пользуется своей популярностью из-за
возможности улучшать качество обслуживания всех
клиентов и создавать безопасные условия для работы в
ИТ-инфраструктуре.
• Среди главных причин, почему Dell Foglight может быть
полезен компании:
Возможность снизить эксплуатационные расходы;
Снижение количества сбоев;
Сокращение времени простоя;
Работа в соответствии с SLA.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
239

240.

Foglight
• Foglight — это основное решение для мониторинга производительности и
управления ею во множестве различных технологических сред (например, Java, .NET,
виртуальные и физические серверы, базы данных и т.д.), а также для контроля за
действиями пользователей, взаимодействующих с этими бизнес-приложениями.
• Ведущие организаций всего мира используют Foglight, чтобы повысить уровень
обслуживания пользователей и обеспечить соответствие среды ИТ потребностям
организации. Foglight также поможет вам обнаружить основную причину любого
инцидента, который влияет на производство, чтобы вы могли быстро исправить
проблему.
• Если
Вы
развертываете
программное
обеспечение
для
мониторинга
производительности в первый раз или используете его, чтобы восполнить пробел
мониторинга, модульная архитектура и стоимость Foglight могут помочь Вашей
организации провести выравнивание и идти в ногу с растущими потребностями
бизнеса и конечных пользователей.
• Foglight упрощает управление производительностью приложений, баз данных и
инфраструктуры, помогая в следующем
• Снижение эксплуатационных расходов по управлению средами ИТ
• Снижение риска простоя при одновременном повышении производительности труда сотрудников
• Повышение уровня соответствия SLA приложений, баз данных и инфраструктуры конечного
пользователя
• Сокращение числа инцидентов и среднего времени восстановления после инцидентов
• Обеспечение видимости ИТ и заинтересованных лиц
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
240

241.

Foglight
• Foglight
• https://www.quest.com/foglight/
• Foglight. Download Free Trial
• https://www.quest.com/register/127815/
• Foglight for Cross-Platform Databases. Download Free Trial
• https://www.quest.com/register/55612/
• Foglight Evolve
• https://www.quest.com/register/55511/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
241

242.

Microsoft SCOM (System Center Operations Manager)
• Microsoft SCOM или System Center Operations Manager
имеет компонент мониторинга за ИТ-инфраструктурой,
с помощью которого управляются облачные среды и
ЦОД.
• Основные преимущества:
• Возможность гибко настраивать мониторинг в соответствии с
потребностями;
• Возможность обеспечивать желательную
производительность корпоративной сети;
• Комплексный подход к вопросу мониторинга.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
242

243.

Microsoft SCOM
• История версий
1994 — Microsoft Systems Management Server 1.0
1995 — Microsoft Systems Management Server 1.1
1996 — Microsoft Systems Management Server 1.2
1999 — Microsoft Systems Management Server 2.0
2003 — Microsoft Systems Management Server 2003
2007 — System Center Configuration Manager 2007 [Changed
from: Microsoft Systems Management Server version 4]
2007 — System Center Essential 2007 (комбинация Microsoft
SCOM и SMS серверов)
2010 — System Center Essential 2010 (комбинация Microsoft
SCOM и SMS серверов)
2012 — System Center 2012 Configuration Manager
2019 — Microsoft Endpoint Configuration Manager
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
243

244.

Microsoft SCOM
• Microsoft Endpoint Manager Ознакомительные версии
• https://www.microsoft.com/ru-ru/evalcenter/evaluatemicrosoft-endpoint-configuration-manager
• Документация по Microsoft Endpoint Configuration
Manager
• https://docs.microsoft.com/ru-ru/mem/configmgr/
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
244

245.

6. Программно-аппаратные средства
защиты компьютерных систем
6.10. Сканеры уязвимостей
245

246.

Metasploit
https://www.metasploit.com
• Metasploit – это проект с открытым исходным кодом,
написанный на Ruby, который позволяет использовать
различные инструменты кибербезопасности для
обнаружения уязвимостей и функций удаленного
программного обеспечения в качестве модуля
разработки эксплойтов.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
246

247.

Impacket
https://github.com/SecureAuthCorp/impacket
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
247

248.

Impacket
https://github.com/SecureAuthCorp/impacket
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
248

249.

Impacket
https://github.com/SecureAuthCorp/impacket
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
249

250.

Nmap
• Network Mapper – это бесплатный инструмент
безопасности
с
открытым
исходным
кодом,
используемый для аудита и управления операционной
системой и сетевой безопасностью для локальных и
удаленных хостов. Используя этот инструмент, мы
можем обнаруживать открытые порты на удаленных
хостах, сопоставление сети, исследование уязвимостей
внутри сети и аудит устройств безопасности.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
250

251.

Wireshark
• Wireshark – еще одно бесплатное программное
обеспечение
с
открытым
исходным
кодом,
позволяющее анализировать сетевой трафик в режиме
реального времени. У него есть технология сниффинга,
благодаря которой вы можете перехватывать и видеть
результаты в удобочитаемой форме. Это также
сохраняет анализ для автономной работы, делая его
более эффективным.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
251

252.

OpenVAS
• OpenVAS или Nessus – один из лучших сканеров
сетевых уязвимостей, используемых для обнаружения
удаленных уязвимостей на любых хостах. В основном
системные администраторы и специалисты DevOps
используют этот инструмент для одновременного
сканирования нескольких хостов. Он имеет мощный
веб-интерфейс,
способный
экспортировать все
результаты в HTML, XML, LateX и в виде обычного
текста.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
252

253.

OpenVAS
• OpenVAS — это сканер уязвимостей с открытым исходным
кодом. OpenVAS предназначен для активного мониторинга
узлов вычислительной сети на предмет наличия проблем,
связанных с безопасностью, оценки серьезности этих
проблем и для контроля их устранения. Активный
мониторинг означает, что OpenVAS выполняет какие-то
действия с узлом сети: сканирует открытые порты,
посылает специальным образом сформированные пакеты
для имитации атаки или даже авторизуется на узле,
получает доступ к консоли управления, и выполняет на нем
команды. Затем OpenVAS анализирует собранные данные
и делает выводы о наличии каких-либо проблем с
безопасностью. Эти проблемы, в большинстве случаев
касаются установленного на узле необновленного ПО, в
котором имеются известные и описанные уязвимости, или
же небезопасно настроенного ПО.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
253

254.

Ettercap
• Ettercap – еще один известный инструмент для
отслеживания пакетов в сетях LAN, способный
обрабатывать как активные, так и пассивные
сканирования
и
различные
зашифрованные
протоколы, такие как SSH и HTTPS. Он выполняет
анализ сети и хоста с манипуляциями с сетью по
установленным соединениям, упрощая тестирование
атак «человек посередине».
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
254

255.

Koadic
https://github.com/zerosum0x0/koadic
• Отличительной
особенностью
Koadic
является
использование
встроенных
в
Windows
интерпретаторов JavaScript и VBScript. В этом смысле
он следует тренду living off the land — то есть не имеет
внешних зависимостей и пользуется стандартными
средствами
Windows.
Это
инструмент
для
полноценного Command & Control (CnC), поскольку
после заражения на машину устанавливается
«имплант», позволяющий ее контролировать. Такая
машина, в терминологии Koadic, называется «зомби».
При нехватке привилегий для полноценной работы на
стороне жертвы Koadic имеет возможность их поднять,
используя техники обхода контроля учетных записей
(UAC bypass).
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
255

256.

CrackMapExec (CME)
https://github.com/byt3bl33d3r/CrackMapExec
• Инструмент CME призван в первую очередь
автоматизировать те рутинные действия, которые
приходится выполнять атакующему для продвижения
внутри сети. Он позволяет работать в связке с
небезызвестными Empire agent и Meterpreter. Чтобы
выполнять команды скрытно, CME может их
обфусцировать. Используя Bloodhound (отдельный
инструмент для проведения разведки), атакующий
может автоматизировать поиск активной сессии
доменного администратора.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
256

257.

Bloodhound
• Bloodhound
как
самостоятельный
инструмент
позволяет вести продвинутую разведку внутри сети. Он
собирает данные о пользователях, машинах, группах,
сессиях и поставляется в виде скрипта на PowerShell
или бинарного файла. Для сбора информации
используются LDAP или протоколы, базирующиеся на
SMB. Интеграционный модуль CME позволяет
загружать Bloodhound на машину жертвы, запускать и
получать собранные данные после выполнения, тем
самым автоматизируя действия в системе и делая их
менее заметными. Графическая оболочка Bloodhound
представляет собранные данные в виде графов, что
позволяет найти кратчайший путь от машины
атакующего до доменного администратора.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
257

258.

Rapid7 Nexpose
• Rapid7 Nexpose – это сканер уязвимостей, который
выполняет активное сканирование IT-инфраструктуры
на
наличие
ошибочных
конфигураций,
дыр,
вредоносных кодов, и предоставляет рекомендации по
их устранению. Под анализ попадают все компоненты
инфраструктуры,
включая
сети,
операционные
системы, базы данных и web-приложения. По
результатам проверки Rapid7 Nexpose в режиме
приоритетов классифицирует обнаруженные угрозы и
генерирует отчеты по их устранению.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
258

259.

Tenable Nessus Scanner
• Tenable Nessus Scanner – это сканер, предназначенный
для оценки текущего состояния защищённости
традиционной ИТ-инфраструктуры, мобильных и
облачных сред, контейнеров и т.д. По результатам
сканирования выдаёт отчёт о найденных уязвимостях.
Рекомендуется использовать, как составную часть
Nessus Security Center.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
259

260.

PT Network Attack Discovery
https://www.ptsecurity.com/ru-ru/products/network-attack-discovery/
• Positive Technologies Network Attack Discovery — система
глубокого анализа сетевого трафика (NTA) для выявления атак
на периметре и внутри сети. PT NAD знает, что происходит в
сети, обнаруживает активность злоумышленников даже в
зашифрованном трафике и помогает в расследованиях.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
260

261.

Nikto (сканер веб-сервера)
https://github.com/sullo/nikto
• Nikto – это простой открытый сканер веб-серверов,
который проверяет веб-сайт и сообщает о найденных
уязвимостях, которые могут быть использованы для
эксплойта или взлома. Кроме того, это один из наиболее
широко используемых инструментов сканирования вебсайтов на уязвимости во всей отрасли, а во многих кругах
он считается отраслевым стандартом.
• Несмотря на то, что этот инструмент чрезвычайно
эффективен, он не действует скрытно. Любой сайт с
системой обнаружения вторжений или иными мерами
безопасности поймет, что его сканируют. Nikto был
разработан для тестирования безопасности и о скрытности
его работы никто не задумывался.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
261

262.

Secretsdump
• Secretsdump - Это модуль, целью которого могут быть
как машины пользователей, так и контроллеры
домена. С его помощью можно получать копии
областей памяти LSA, SAM, SECURITY, NTDS.dit, поэтому
его можно увидеть на разных стадиях атаки. Первым
шагом в работе модуля является аутентификация через
SMB, для которой необходим либо пароль
пользователя, либо его хеш для автоматического
проведения атаки Pass the Hash. Далее идет запрос на
открытие доступа к Service Control Manager (SCM) и
получение доступа к реестру по протоколу winreg,
используя который атакующий может узнать данные
интересующих его веток и получить результаты через
SMB.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
262

263.

Enum_avproducts
• Enum_avproducts
• Весьма интересен с точки зрения функциональности и
реализации модуль enum_avproducts. WMI позволяет с
помощью языка запросов WQL получать данные
различных объектов Windows, чем по сути и пользуется
этот модуль CME. Он генерирует запросы к классам
AntiSpywareProduct и AntiМirusProduct о средствах
защиты, установленных на машине жертвы. Для того
чтобы получить нужные данные, модуль выполняет
подключение
к
пространству
имен
root\SecurityCenter2, затем формирует WQL-запрос и
получает ответ.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
263

264.

6. Программно-аппаратные средства защиты
компьютерных систем
6.11. Программы для анализа сетевого трафика
Сниферы пакетов (packet sniffers and network analyzers)
264

265.

Снифферы пакетов
• SolarWinds
• tcpdump
• Windump
• Wireshark
• tshark
• Network Miner
• Fiddler (HTTP)
• Capsa
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
265

266.

SolarWinds
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
266

267.

tcpdump
Tcpdump - это приложение с открытым исходным кодом, которое устанавливается
практически во всех Unix-подобных операционных системах. Tcpdump - отличная
утилита для сбора данных, которая имеет очень сложный язык фильтрации. Важно
знать, как фильтровать данные при их сборе, чтобы в итоге получить нормальный
набор данных для анализа. Захват всех данных с сетевого устройства даже в умеренно
загруженной сети может породить слишком много данных, которые будет очень
трудно проанализировать.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
267

268.

Windump
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
268

269.

Wireshark
• Wireshark является следующим самым известным
инструментом в наборе системного администратора.
Он позволяет не только захватывать данные, но также
предоставляет некоторые расширенные инструменты
анализа. Кроме того, Wireshark является программой с
открытым исходным кодом и перенесен практически
на все существующие серверные операционные
системы. Под названием Etheral, Wireshark теперь
работает везде, в том числе в качестве автономного
переносимого приложения.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
269

270.

Wireshark
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
270

271.

tshark
• Tshark - это очень полезное звено между tcpdump и
Wireshark. Tcpdump превосходит их при сборе данных
и может хирургически извлекать только те данные,
которые вам нужны, однако его возможности анализа
данных очень ограничены. Wireshark отлично
справляется как с захватом, так и с анализом, но имеет
тяжелый пользовательский интерфейс и не может
использоваться на серверах без графического
интерфейса. Tshark работает в командной строке.
• Tshark использует те же правила фильтрации, что и
Wireshark, что не должно удивлять, так как они по сути
являются одним и тем же продуктом.
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
271

272.

Network Miner
• Network Miner - это очень интересный инструмент,
который скорее попадает в категорию инструментов
сетевого криминалистического анализа, а не просто
снифферов. Сфера криминалистики, как правило,
занимается расследованиями и сбором доказательств, и
Network Miner выполняет эту работу просто отлично. Также,
как wireshark может следовать потоку TCP, чтобы
восстановить всю цепочку передачи паков, Network Miner
может следовать потоку для того, чтобы восстановить
файлы, которые были переданы по сети.
• https://www.netresec.com/index.ashx?page=NetworkMiner
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
272

273.

Network Miner
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
273

274.

Fiddler (HTTP)
• Fiddler технически не является утилитой для захвата
сетевых пакетов, но он так невероятно полезен, что
попал в этот список. В отличие от других
перечисленных
здесь
инструментов,
которые
предназначены для захвата трафика в сети из любого
источника, Fiddler скорее служит инструментом
отладки. Он захватывает HTTP трафик. Хотя многие
браузеры уже имеют эту возможность в своих
средствах разработчика, Fiddler не ограничивается
трафиком браузера. Fiddler может захватить любой
HTTP-трафик на компьютере, в том числе и не из вебприложений.
• https://www.telerik.com/download/fiddler
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
274

275.

Fiddler (HTTP)
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
275

276.

Capsa
• Анализатор сети Capsa имеет несколько редакций,
каждая из которых имеет различные возможности. На
первом уровне Capsa бесплатна, и она по существу
позволяет просто захватывает пакеты и производить их
базовый графический анализ. Панель мониторинга
уникальна и может помочь неопытному системному
администратору быстро определить проблемы в сети.
Бесплатный уровень предназначен для людей, которые
хотят узнать больше о пакетах, и наращивать свои
навыки в анализе.
• https://www.colasoft.com/capsa/
• https://www.colasoft.com/download/products/capsa_free.php
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
276

277.

Capsa
Белорусско-Российский университет
Кафедра «Программное обеспечение
информационных технологий»
Методы и средства защиты информации, 2021.
Тема: Сетевые атаки и защита информации в компьютерных сетях
277

278.

Белорусско-Российский университет
Кафедра «Программное обеспечение информационных технологий»
Методы и средства защиты информации
Тема: Сетевые атаки и защита информации в
компьютерных сетях
Благодарю
за внимание
КУТУЗОВ Виктор Владимирович
Белорусско-Российский университет, Республика Беларусь, Могилев, 2021
278